我正在尝试集成两个独立的 Web 应用程序 - 一个是现有的自定义 Web 应用程序,它具有自己的安全范例,另一个是报告平台 (JasperServer)。我希望能够使用 Jasper 的 Web 服务接口将报告功能集成到我们的应用程序中。我们的安全模型很复杂并且是本土的,但我认为这是有希望的。
我们设置了一个 cookie,它是一个加密字符串,其中包含一个 Web 服务 URI 作为身份验证源和一个存储在数据库中的令牌,该令牌在用户登录时创建并在他/她注销时被销毁。我想我可以利用它在 Jasper 中实现一种 SSO,因为它使用了 Spring Security。
我认为我应该做的是实现一个预身份验证过滤器来检查我上面提到的 cookie。然后它可以对其进行解密,对提供的身份验证源进行 Web 服务调用,以验证令牌在数据库中是否处于活动状态。如果是,则该令牌可用于指向可以作为 UserDetails 对象返回的用户和角色信息。
不幸的是,我知道的足够危险,但还不够有效。我在正确的轨道上吗?这个解决方案听起来站得住脚吗?如果是这样,从哪里开始是一个好地方,有没有类似的例子你可以指出我?我已经搜索了很多,没有发现任何符合要求的东西。
提前感谢所有能给我带来一线希望的人