Mamy wdrożoną witrynę HTML5 + jQueryApache Http. W skrócie, wyświetlane dane uzyskuje się przez wywołanie usług REST na zapleczu, wdrożonych na serwerze Apache Tomcat. Użytkownik uwierzytelnia się za pomocą użytkownika / hasła do tych usług i odzyskuje token upoważniający, który jest przechowywany jako plik cookie, w celu wykorzystania go w kolejnych połączeniach.
Próbuję dowiedzieć się, jak zintegrować uwierzytelnianie certyfikatu klienta (X509) w tym scenariuszu, jako dodatkowej metody uwierzytelniania oprócz użytkownika / hasło.
Myślę o przekierowaniu przeglądarkido pewnego serwletu z włączonym SSL, żądanie i odczytanie informacji o certyfikacie klienta, uwierzytelnienie go i przekierowanie z powrotem do strony internetowej z ustaloną sesją (token uprawniający klienta do wywoływania usług zaplecza za pośrednictwem strony internetowej). Nie jestem pewien, jak mogłem utrzymać sesję użytkownika pomiędzy tymi dwoma różnymi komponentami i technologiami (jeśli to możliwe).
Wszelkie wskazówki, wskazówki, referencje, różne podejścia do tego będą mile widziane.
Odpowiedzi:
0 dla odpowiedzi № 1W skrócie, wyświetlane dane uzyskuje się przez wywołanieUsługi REST w sieci backend, wdrożony na serwerze Apache Tomcat. Użytkownik uwierzytelnia się użytkownika / hasło do tych usług i odzyskuje token autoryzacji, który jest przechowywany jako plik cookie, aby móc go używać w kolejnych połączeniach.
To narusza bezpaństwowe ograniczenie, więc nie jest to REST. Musisz utrzymywać sesje po stronie klienta i wysyłać nazwę użytkownika i hasło przy każdym żądaniu (zaszyfrowane HTTPS).