Фильтр OIDC для устаревшего приложения сервлета

Question

Я хотел бы перехватить запрос унаследованного приложения сервлета / JSP Java и аутентифицировать пользователей с помощью протокола OpenID Connect (OIDC).

Я видел примеры с Spring Security и SAML, где springSecurityFilterChain был явно настроен в XML и упаковывал существующие не Spring-сервлеты. Но большинство примеров Java OIDC, которые я видел, были с Spring Boot, что для меня не вариант. (например: https://developer.okta.com/blog/2017/12/18/spring-security-5-oidc)

Можете ли вы указать мне на примеры, не относящиеся к Spring Boot, которые используют клиенты OIDC в ​​веб-приложениях Java?

Answer 1

Я обнаружил, что pac4j и, в частности, комбинация j2e-pac4j и pac4j-oidc - это самый простой способ подключить OIDC к простому приложению старого сервлета.

j2e-pac4j реализован в виде ванильного фильтра сервлетов Java (фактически два, потому что вам нужен обработчик обратного вызова), который подключается к web.xml для перехвата запросов.Эти фильтры ссылаются на класс Java, который вы предоставляете для настройки клиента OIDC.

Блог разработчика Okta содержит статью об использовании pac4j-oidc с платформой Play , и это кажется разумным путеми для Java, учитывая, что Spring Security кажется слишком сложным или сложным для установки в устаревшем приложении.