Webサービスへのリクエストを認証/許可するJBoss用のカスタムログインモジュールを作成しました。サービスへの最初の呼び出しは正常に認証されます。デバッガをログインモジュールに接続し、コードの実行をトレースすることができます。ただし、その後のWebサービスの呼び出しはすべてログインモジュールをスキップします。 JBoss/jaasが最初の接続の結果を再利用しているようです。JBossカスタムログインモジュールは一度しか動作しません
私は立ち往生しています。こんにちは私を得るための任意の提案?
認証/許可はセッションオブジェクトに関連付けられていますか?セッションのタイムアウト/無効をどのように設定しましたか?
JBOSSはおそらく何とか資格情報をキャッシュしています。 の場合、にログインモジュールをスキップしてください。セッションをログアウトまたはタイムアウトする場合にのみ無効にする必要があります。
それぞれ独自のセッションを持つ2人の別個のユーザー/ブラウザでテストしましたか?
私はそれを理解しました。私はクッキーベースの認証をセットアップしようとしていました。明らかに、JBoss/Jaasはユーザー名とパスワードに基づいて正常な認証をキャッシュし、Cookieは無視されます。動作させるために、私はWebサービスリクエストからCookieを削除し、それを認証ヘッダーのユーザー名とパスワードに置き換えました。
私は同じ考えを持っています、JBossは何かをキャッシュしています。これはステートレスWebサービス用のカスタムセキュリティモジュールであるため、自分で資格情報をキャッシュすることをお勧めします。私はJBossのキャッシングを無効にし、毎回ログインモジュールを実行させたいと思います。 – IdahoX