我必须将通常部署在 Tomcat 或 Jetty 上的现有应用程序配置到 WebSphere Application Server v8 上。我遇到的主要问题是,在将要部署它的环境中,它需要通过 JAAS 处理身份验证/授权。不幸的是,该应用程序使用自制的身份验证系统,并且与 JAAS 或 WebSphere 的 JAAS 实现不兼容。
到目前为止,为了提供一个允许应用程序在 WebSphere 上和谐运行的 shim,我一直在尝试编写一个 WebSphere 信任关联拦截器来从 websphere 的接口中提取一个主题(通过调用com.ibm.websphere.security.auth.WSSubject.getCallerSubject())并将其放入HttpServletRequest 在正常操作过程中,我的 webapp 将提取添加的属性供我们使用。但这似乎……很棘手。它看起来非常有目的,似乎我们不能将它用于这种类型的操作。
理想情况下,我想远离应用内过滤器,因为我想尽可能地将 IBM 特定的代码排除在应用之外。
这里有人有什么建议吗?