JAX-RS должен проверять только авторизацию

Question

У нас есть приложение cakephp, которое выполняет Ajax-вызовы для получения данных и отправки обратно на веб-сервис Jax-RS (в разработке).

Аутентификация внутри cakephp выполняется на сервере LDAP Авторизация будет выполняться веб-сервисом для каждого запроса По своей природе веб-сервис не имеет состояния и сессии Пользователи, разрешения, роли будут храниться в таблице в БД.

Вопрос в том, какие варианты доступны для авторизации пользователей. Можем ли мы использовать встроенные JDBC Realm или Datasource realm для авторизации пользователей (помните, что пароль не будет сохранен или отправлен, поскольку мы не выполняем аутентификацию)

Каков наилучший способ обезопасить веб-сервис, чтобы только запросы из приложения cakephp почитаемы, а другие отброшены

Спасибо

Answer 1

В зависимости от ваших обстоятельств, вы можете просто ограничить запросы к машинам, на которых запущено приложение PHP.Это можно сделать только с помощью настройки брандмауэра.

В противном случае, если вы упаковываете приложение как WAR, вы можете использовать обычные методы защиты веб-приложения.Ваши ресурсы JAX-RS могут также иметь SecurityContext, в которые добавлено @Context для более детального контроля (например, получить принципал; см. Также @RolesAllowed, @DenyAll, @PermitAll).