Tenemos un sitio web HTML5 + jQuery, implementado enApache Http. En resumen, los datos que se muestran se obtienen llamando a los servicios REST en el backend, desplegados en Apache Tomcat. El usuario se autentica con usuario / contraseña para esos servicios y obtiene un token de autorización, que se almacena como una cookie, para usarlo en otras llamadas.
Estoy tratando de descubrir cómo integrar la autenticación de certificado de cliente (X509) en este escenario, como un método de autenticación adicional además del usuario / contraseña.
Lo que estoy pensando es en redirigir el navegadora algún servlet habilitado para SSL, solicite y lea la información del certificado del cliente, autentíquela y redirija al sitio web con una sesión establecida (un token que le da derecho al cliente a llamar a servicios de back-end a través del sitio web). No estoy seguro de cómo podría mantener de alguna manera la sesión del usuario entre estos dos componentes y tecnologías diferentes (si es posible).
Cualquier consejo, orientación, referencias, diferentes enfoques sobre esto serían muy apreciados.
Respuestas
0 para la respuesta № 1En resumen, los datos mostrados se obtienen llamandoServicios REST en el backend, implementado en Apache Tomcat. El usuario se autentica con usuario / contraseña para esos servicios, y obtiene un token de autorización, que se almacena como una cookie, para usarla en otras llamadas.
Esto viola el restricción sin estado, entonces no es REST. Debe mantener las sesiones en el lado del cliente y enviar el nombre de usuario y la contraseña con cada solicitud (HTTPS encriptada).