1
GlassFish 2サーバにデプロイされたいくつかのスタティックレスEJB(EJB3)があり、@Webmethodアノテーションを使用してメソッドの一部をWebサービスとして公開しています。GlassFish 2でWebサービスを保護する方法は?
ここで、認証されたクライアントだけが呼び出すことができるように、これらのWebサービスメソッドを保護する必要があります。これを達成するための良い方法は何でしょうか?
A
答えて
5
いい声優が言ったように。以下の例では、ファイルレルムを認証に使用しています。あなたはまた、例えば日-のejb-jar.xmlのが必要になります
@Stateless
@WebService(name = "MyAppServices")
@RolesAllowed({"user"})
public class ItemEJB {
...
}
GlassFishの中のファイルレルムのグループの
<sun-ejb-jar>
<security-role-mapping>
<!-- as defined in @RolesAllowed -->
<role-name>user</role-name>
<!-- glassfish group created in file realm -->
<group-name>user</group-name>
</security-role-mapping>
<enterprise-beans>
<ejb>
<ejb-name>ItemEJB</ejb-name>
<webservice-endpoint>
<!-- equivalent to name attribute of @WebService -->
<port-component-name>MyAppServices</port-component-name>
<login-config>
<auth-method>BASIC</auth-method>
<realm>file</realm>
</login-config>
</webservice-endpoint>
</ejb>
</enterprise-beans>
作成は(管理コンソール)自明です。しかし、独自のカスタムレルムとログインモジュールを作成することができます
3
あなたは、セキュリティアノテーションを使用してメソッドまたはBean全体にアクセスするためのロールのリストを承認することができます。例えば
@Stateless
@RolesAllowed({"user", "employee", "admin"})
public class ItemEJB {
...
}
1
http://java.sun.com/developer/technicalArticles/J2EE/security_annotation/は、今、私たちだけがそれを呼び出すことができます クライアントを認証されたので、これらのWebサービス 方法を確保したいです。
これはsslに関連しないと仮定します。それで:
1)クライアントはユーザ名とパスワードを入力してログインします
2)ユーザ名とパスワードが正しい(DBに保存されている)場合、ユーザはログインしているとみなされ、一意のセッショントークンユーザー名とパスワード)は、Webサービスによって生成され、返信で返信されます。
このトークンは、タイムスタンプ情報とユーザー名とパスワードと共に保存されます。
3)要求がクライアントによって送信されるたびに、トークンは他のパラメータと共に返されます。トークンが有効であれば、これは認証されたクライアントからの要求であることを意味します。
4)すべての要求には残りのパラメータとのセッショントークンが必要です。
認証されていないクライアントは、送信するトークンを持ちません。
関連する問題
- 1. Webサービスを保護する方法は?
- 2. Spring RESTful WebサービスでCSRF保護を処理する方法は?
- 3. ネットでWebサービスを保護する方法は?
- 4. RESTfulサービスを保護する方法は?
- 5. JSON Webサービスの保護
- 6. データIonicV1サービスを保護する方法
- 7. Amazon Webサービス(AWS)S3、パスワードで保護されたフォルダをアップロードする方法は?
- 8. Webフォントを保護する方法
- 9. ローカルホストのセキュリティ保護されたWebサービスにWebサービスクライアントを作成する方法
- 10. Apache CXF:基本認証でJAX-RS Webサービスを保護する方法
- 11. 内部のプライベートネットワーク上でSOAP Webサービスを保護する最良の方法
- 12. WebサービスでのJDBC Glassfish
- 13. ASP.NetのWebページをロールで保護する方法は?
- 14. couchdbのWebインターフェイス(布団)をパスワードで保護する方法は?
- 15. firebaseホスティングでIonic Webアプリケーションのソースコードを保護する方法は?
- 16. ACS(Azure)を使用してwcf Webサービスを保護する方法
- 17. PHPクライアント用WCF Webサービスのセキュリティ保護
- 18. イントラネットWebサービスを保護する方法(トランスポート層セキュリティとメッセージ暗号化)
- 19. セキュリティで保護されたWebサービスを設定する
- 20. クラシックASPで保護されたWebサービスを使用する
- 21. oauthで保護されたSOAP Webサービスを消費する
- 22. 角度コントローラ、サービス、ルーティングファイルを保護する方法は?
- 23. PHPでパスワードで保護されたWebサービスに接続する
- 24. WindowsサービスからホストされているWCF Webサービスを保護する方法は?
- 25. ASP.NET MVC Webアプリケーションを保護する方法は?
- 26. Azure Web Role - オープンソースプロジェクトを保護する方法は?
- 27. Java Webサービス - ユーザーによるWebメソッドの保護
- 28. Glassfish Webサービスの承認
- 29. Azure WebアプリケーションでXSRF保護を使用する方法
- 30. Identity Server 3でWeb APIを保護する方法
認証されたクライアントとは、クライアントのデジタル認証を意味しますか? – Cratylus
はい、デジタル証明書が最適です。 – Sylar
問題は、SSLを使用してWebサービスポートを保護することはできません。同じポート上で異なるURL上の他のサービスが保護されるべきでないためです。 – Sylar