【发布时间】:2011-02-05 04:16:56
【问题描述】:
我有一个基于小部件的前端与 REST 层通信。要使用前端,人类需要使用用户名和密码登录。进入后,用户可以与调用 REST 层的小部件进行交互。此时,在 REST 层没有进行任何授权。如果你已经登录成功,你可以为所欲为。
但是,我想确保只有已登录的用户才能访问 REST 层。如果你尝试用浏览器或其他客户端点击它,你应该得到一个 404。
我们已经通过 OpenSSO 成功地做到了这一点,但它很复杂。它的未来在向 OpenAM 的转变中存疑。此外,还需要与其他 REST 层集成,其中我构建的 REST 层的 Java 代码将充当其他服务的客户端,这些服务由可以想象的任何东西保护。
因此,我在保护我的东西以及与其他东西的安全可插拔性方面存在问题。
我一直在阅读有关 OAuth 和 CAS 以及 OpenID 和 JOSSO 等内容,发现自己对它们都解决了哪些问题感到困惑。我认为我的问题是相当基本的,但我不知所措。任何见解都值得赞赏。
谢谢。
【问题讨论】:
标签: security rest oauth cas opensso