使用cxf处理jax-rs Web服务中的身份验证和授权 [英] Handle Authentication and Authorization in jax-rs webservice with cxf

问题描述

我有一个带有jsps的webapp.没有使用任何struts或mvc框架.我们已经使用Apache CXF构建了JAX-RS服务.

I have a webapp which has jsps. am not using any struts or mvc framework. We have JAX-RS service build using Apache CXF.

现在我要关注

1. 允许用户使用用户名和密码登录.
2. 对于随后对Web服务的所有调用，应使用相同的身份验证信息.
3. 已登录的用户具有一些详细信息(个人资料照片，全名)，我希望在整个会话期间保持不变.
4. 还定义了它的作用.基于角色，仅允许某些jax-rs调用.
5. 在JSP中，角色也用于限制对功能的访问.
6. 可以在外部访问Web服务，因此应使用身份验证和授权信息.

据我了解，我们不应该在jax-rs服务中使用会话.解决上述情况的最佳方法是什么?

As far as i understand, We should not use session in jax-rs services. What is the best way to handle above situation ?

推荐答案

最好的方法取决于您的估算方式. 我的方法是

The best way depends on how you estimate it. My way of doing this is to

1. 在同一实例上运行Rest服务和JSP
2. 使用web.xml和CXF设置安全策略，该策略允许用户/密码验证和授权，并且ROLES绑定到jax-rs url和JSP url.
3. 基于2，可以直接在外部调用jax-rs服务，但您需要指定user/pw.

希望这可以对您有所帮助.

Hope this can help you a bit.

这篇关于使用cxf处理jax-rs Web服务中的身份验证和授权的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！