Abbiamo un sito Web HTML5 + jQuery, distribuito suApache Http. In breve, i dati visualizzati vengono ottenuti chiamando i servizi REST sul back-end, distribuiti su Apache Tomcat. L'utente si autentica con l'utente / password per tali servizi e ottiene un token di autorizzazione, che viene memorizzato come cookie, per utilizzarlo in ulteriori chiamate.
Sto cercando di capire come integrare l'autenticazione del certificato client (X509) in questo scenario, come metodo di autenticazione aggiuntivo oltre all'utente / password.
Quello che sto pensando è di reindirizzare il browserad alcuni servlet abilitati per ssl, richiedere e leggere le informazioni sul certificato client, autenticarle e reindirizzare al sito Web con una sessione stabilita (un token che autorizza il client a chiamare i servizi di backend attraverso il sito Web). Non sono sicuro di come potrei in qualche modo mantenere la sessione utente tra questi due diversi componenti e tecnologie (se possibile).
Eventuali suggerimenti, indicazioni, riferimenti, approcci diversi su questo sarebbero molto apprezzati.
risposte:
0 per risposta № 1In breve, i dati visualizzati sono ottenuti chiamandoServizi REST sul backend, distribuito su Apache Tomcat. L'utente si autentica con utente / password per tali servizi e ottiene un token di autorizzazione indietro, che viene memorizzato come cookie per utilizzarlo in ulteriori chiamate.
Questo viola il vincolo stateless, quindi non è RIPOSO. Devi mantenere le sessioni sul lato client e inviare il nome utente e la password con ogni richiesta (HTTPS crittografata).