我发现了一篇很棒的白皮书(由 Sun 撰写),其中介绍了将 Kerberos、JAAS 和 GSS-API 集成在一起以实现重型 SSO 系统。不幸的是,这篇文章是为 Java 1.4 编写的,已经有好几年了。
(1) 我想知道:这个“triumverate”(Kerberos-JAAS-GSS,或简称 KJG)是否仍然(从 J6 开始,J7 即将推出)是 Java EE 应用程序的主要 SSO 机制?如果不是,那是什么,你能简要解释一下它的架构吗?
我的应用程序还需要一些安全的 Web 服务。在阅读本文之前,我正在考虑使用 SSL 来保护传输以及 XWSS 或(更有可能)Apache 的 WSS4J 框架用于身份验证/sigs/加密:
(2) KJG(或您为上述问题 1 推荐的任何解决方案)是否能够提供安全的 Web 服务?例如,是否可以使用 KJG 代替 WSS4J/SSL?
第二个问题是我尝试查看是否可以重用大量 SSO 代码来实现安全的 Web 服务。提前感谢您在正确方向上的任何输入或轻推。