Apache Shiro(授权)+ SiteMinder(认证)

【问题标题】:Apache Shiro (Authorization) + SiteMinder (Authentication)Apache Shiro(授权)+ SiteMinder(认证)
【发布时间】:2015-12-01 05:18:10
【问题描述】:

我有一个已经完成的 j2ee(jsf, cdi, jpa) 应用程序,它完美地使用了 Apache Shiro,它工作得很好,我很喜欢 shiro 注释(hasRole、hasPermission 等)。

现在,这个项目还必须能够通过 SiteMinder 进行身份验证,我的问题来了:

  • 如何在不丢失 Shiro 授权的情况下设置 Realm 来处理 SiteMinder 身份验证(似乎 SiteMinder 会在 HTTP Header 中给我用户名和角色名)
  • 如果我创建一个自定义领域,执行“doGetAuthenticationInfo”并将用户登录到会话中,SiteMinder 会话会发生什么?
  • 如果我设置“subject.getSession().setTimeout(1000);”在 Shiro 中,已经定义超时的 SiteMinder Session 会发生什么?

我的目的是使用 SiteMinder 进行身份验证(并控制我的会话)并让 Shiro 仅用于授权。 Shiro 不能侵入 SiteMinder 会话。

【问题讨论】:

    标签: authentication authorization shiro siteminder jdbcrealm


    【解决方案1】:

    如何在不丢失 Shiro 授权的情况下设置 Realm 来处理 SiteMinder 身份验证(似乎 SiteMinder 会在 HTTP Header 中给我用户名和角色名)

    在这种情况下,您需要有 2 个领域,一个用于处理身份验证,另一个用于处理授权,请查看 this one 了解如何

    如果我创建一个自定义领域,执行“doGetAuthenticationInfo”并将用户登录到一个会话中,SiteMinder 会话会发生什么?

    您的自定义实体将负责成为 SiteMinder 的客户端,因此 doGetAuthenticationInfo 将返回您从 SiteMinder 返回的任何内容

    如果我设置“subject.getSession().setTimeout(1000);”在 Shiro 中,已经定义超时的 SiteMinder Session 会发生什么?

    我认为当您使用 sso 解决方案时,会话由 sso 服务器而不是客户端管理时存在混淆

    【讨论】:

      猜你喜欢
      • 2014-06-02
      • 2015-12-24
      • 1970-01-01
      • 2016-06-06
      • 2016-03-07
      • 2014-07-17
      • 2011-11-19
      • 2016-09-13
      • 2018-12-11
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode