Я пытаюсь создать безопасный и, возможно, дозированный веб-сервис на Java.
В своем исследовании я обнаружил много информации об OpenSSO и думал, что это мое решение, пока не обнаружил, что OpenAM взял на себя управление и что OpenSSO больше не разрабатывается!
У меня установлена последняя версия Tomcat7 + OpenAM и я начал ее настраивать .
Моя цель:
Я хотел бы иметь аутентификацию на основе сеанса / токена, где пользователи могут запрашивать токен из защищенной конечной точки веб-службы ( OpenAM, кажется, предлагает этот ), чем включать этот токен в последующие HTTP-запросы к конечные точки веб-службы защищены OpenAM.
Я вижу руководства о том, как создать 'агент-политику' для Apache ... но пока не Tomcat? Может быть, я просто наивен в том, как работает этот материал - может быть, я бы использовал политику Java EE для Tomcat?
Наконец, приятно иметь: когда пользователь подключается к определенной службе, я могу взять его аутентифицированный токен и использовать его для «значительного» измерения службы (записи информации о запросах) - есть ли хук API в OpenAM или я должен планировать внутреннюю реализацию этого в веб-сервисе?
Мой вопрос: Существуют ли какие-либо руководства или примеры проектов, демонстрирующие этот тип конфигурации. Документация OpenAM хороша, но я думаю, что мне нужно немного больше держать в руках.