jboss resteasyで構築されたjax-rs Webサービスレイヤがあります。すべてのWebサービスがjsonオブジェクトを消費して生成します。別のソースからの要求を処理するために、このレイヤーを保護する必要があります。ajaxフロントエンドとapiリクエストからアクセスできる安全なRESTful Webサービスレイヤを構築する最良の方法
フォームベースのログインでajaxフロントエンドがwsにアクセスできます。したがって、私は、ユーザーセッションをサーバーに保管し、すべてのws要求でそのユーザーの存在をチェックする必要があります。
また、何らかのHMAC(OAuthなし)認証を使用してREST APIを通じてWebサービスを公開したいと思います。
誰でも解決策を知っていますか?両方のソースからの要求を処理できる集中化された認証コンポーネントを持つことは素晴らしいことです。
両方のユースケースを処理するJSR-196ベースのプロバイダを作成し、両方のエンドポイント用にそれを設定できます。サービスがランダムな要求を認証する方法を知るように(たとえば、URLに基づいてプロバイダーで設定できるように)、識別子を追加する必要があるかもしれません。
これを処理するには100%の方法がわかりませんが、同様の問題がありました。あなたがそれが適用されることが判明した場合に私はそれを共有します。 (私はresteasyに精通していません)基本的に、私たちのモバイルプラットフォームが接続されている既存のREST Webサービスがありました。私はフォーム認証を持っている私たちのWebアプリケーションにモバイルサービスからのいくつかのデータを表示するように頼まれました。
解決策は、FormsAuthentication Cookieを取得してサービスに送信する要求のヘッダーに追加することでした。サービスはそのCookieを復号して、要求を行っているユーザーを取得します。
これは、2つの前提を設定しています。1.サービスとWebアプリケーションの両方が同じ暗号化キーを使用しています。2. FormsAuth経由でログインすると、サービスはユーザー資格情報を完全に認証する必要がありません。だからサービスはちょうど基本的に言っている "私はトークンを復号化することができますか?これは有効なユーザーですか?"