1
私は以下のような状況に陥っています。すべてが、Spring Securityを使用して認証/承認を行うWebアプリケーションです。我々は、これらのすべてのWebアプリケーションで使用されるWebサービスを作成したいと考えています。コミュニケーションはhttps以上になります。webappからsoap webserviceにスプリングセキュリティを伝播する
webappのセキュリティコンテキストをwebserviceに伝播して、Webサービス実装のメソッドの@Secured注釈が正しく機能するようにします。 私はspring ws securityを見て、UsernameTokenProfileを使って認証を成功裏に実装しました。しかし、私は認可情報(すなわち、ユーザの役割)を転送するための標準ベースの方法を見つけることができないようです。
- Webサービスで許可を行う方法はSpringにありますか? (SAML、XACML?)
- webservicesで認証を使用するときにSpringがSecurityContextを作成することはありますか?コードをデバッグし、SecurityContextHolder.getContext()を要求すると、nullが返されます(リクエストが1スレッドで処理されていると仮定しています)。
役立つかもしれないと思います認可が追加され、ドキュメントはむしろまばらです。しかし、Webサービス呼び出しでロールを移送し、既存のコードをサーバー側のSpring Security注釈で再利用したいという、特定のユーザーのロールを取得する必要があるようです。私は自分のソリューションを簡単にロールアップすることができましたが、セキュリティコンテキストを転送するための標準的な方法があれば、私は迷っていました。 –