大多数有关使用 OpenAM 设计身份验证解决方案的文档都建议使用 Web 服务器策略代理或 Java EE 策略代理。
我正在寻找不需要使用策略代理的替代方案。这将帮助我避免维护,例如与策略代理相关的升级等,这些代理将安装在服务器场中的数百个 Web 服务器中。
一个明显的解决方案是实现类似的"会话评估"功能作为应用程序代码的一部分。
是否有任何其他替代方案可以在 OpenAM 中以无代理模式使用。
PS:通过会话评估,我指的是验证会话是否正在进行并相应地允许访问受保护资源或通过重定向到 OpenAM 来启动身份验证过程的功能。
感谢和问候
你实际上是在建议编写自己的代理,并将其嵌入到你的项目中。 这没有错,只要知道你在做什么。
我将首先拆开其他OpenAM代理之一,并决定您可以利用多少。 如果你不能利用那里的东西,看看REST API,他们有一些不错的例子。
您可以使用
JWT令牌(将OpenAM配置为OpenID Connect提供程序)。您的应用程序需要使用库来内省 JWT 令牌
您可以使用类似Spring Security SAML过滤器的东西。
以上两者都不提供策略实施 - 它们仅是 AuthN。如果你的应用希望使用此方法强制实施策略,则必须调用 REST API。
您可以在较小的 Web 层(Apache 或类似 OpenIG)上安装代理,并将这些请求反向代理到您的应用程序。 维护较小的 Web 层将使升级更容易。