3

这是场景:我有一些需要保护的 Web 服务 (JAX-WS)。目前,为了满足身份验证需求,我提供了额外的 SecurityWService,它为授权用户提供了一些用户 ID 和会话 ID,这些用户 ID 和会话 ID 需要在对其他服务的请求中进行描述。

使用一些java安全会更好。我们有很多,但无法定义更好的使用方法。

Q1 : 可以理解我应该在传输层使用 SSL,但是我应该使用什么来进行用户授权。有没有更好的方法来建立会话、验证用户等?

这是一些关键描述:

  1. 大多数网络服务客户都是基于 php 的。
  2. 我将 jax-ws 实现用作无状态会话 EJB。
  3. 部署到 glassfish v3。

Q2:在使用 JSF 2.0 和 ejb3.1 技术(Realms?WSIT?)的情况下,用户授权/认证的最佳框架/技术是什么?

谢谢你!

4

1 回答 1

1

有一件事是肯定的,你必须使用 HTTPS。SSL 是保持这些组件之间安全连接的粘合剂。

如果存在分布在不同域/服务器之间的服务,并且您需要 Web 浏览器/客户端来维护所有这些系统的状态,那么oAuth是一个很好的解决方案。该站点上有 Java 和 PHP oAuth 植入。oAuth 很灵活,可以满足很多需求。

一种更简单的方法是使用HTTP 基本身份验证和由 SQL 数据库支持的访问控制列表。会话状态可以存储在数据库或会话 Bean 中,并由您的自定义 Web 服务访问。这比 oAuth 更常见。

于 2010-05-05T23:32:53.523 回答