通过实施身份验证和授权(a&a)机制为所有用户数据设计集中式服务。 我将分享我的经验并最终确定解决方案的结论。
该设计包括客户端(Web应用程序)和服务器(A&A中心)。
术语:
1.验证:
认证是系统可以安全地标识其用户的机制。 回答问题“谁是用户?” 身份验证还包括SSO(单点登录)。 一种机制,使用户能够一次登录并获得所有参与资源的“免费通行证”,而无需附加标志。
2.授权:
授权是验证用户是否具有访问某些资源或部分的角色/权限的过程。
回答问题:用户X是否有权访问资源/操作Y?
3.受保护的客户:
通常,a&a机制与受保护的客户端框架配合使用:Spring安全性,Apache Shiro,Wicket身份验证等。 我将在稍后的文章中进行评论。
要考虑的主要主题:
- 认证服务器
- 安全的Web客户端框架
- 授权职责
完整的解决方案提供商:
在我的研究中,我遇到了完整的解决方案提供商:
- Open AM(称为OpenSSO)–他们声称是一个开源项目。 但是过了一会儿&#x