Swing İstemcisi'nde Apache Shiro - EJB 3.1 Kimlik Doğrulama Yetkilendirme

Question

Genel Durum: Hizmetlerini EJB (3.1) aracılığıyla ortaya koyan basit bir uygulama - bunların çoğu Stateless Sessions beans (burada hiçbir şey eğlenceli değil) ve SWING tabanlı istemciler Bu, uzak servisler aracılığıyla bu hizmetleri çağırır ve yapmaları gerekenleri yapar.

Güvenlik: Bu çağrı döngüsünü doğrulamak/yetkilendirmek ve elbette hizmetlerimi korumak istiyorum. Açık cevap, sunucudaki JAAS'ı ve temel sunucudaki herhangi bir özel kablo kurulumunu kullanmak olabilir. - Potansiyel uygulama sunucusu bağımsız olabilir Yani bir sürü insan Apaçi Shiro hakkında konuşmak ve gerçekten de çok basit bir API ve mekanizma özellikleri: Bu bir seçenek

Apache Shiro hala.

Teknik Sorular:

1. Oturum: Benim durumumda ben bir HTTP oturumu yok - ve anladıkları Shiro en az Etrafa geçmesi gerekiyor OTURUM kimliği çeşit ihtiyacı var. RMI/IIOP'umdaki kullanıcı kimlik bilgilerini enjekte etmenin herhangi bir yolu, iş API'mı kirletmeyerek sunucuya çağrı yapıyor mu?

2. Sunucu tarafı uygulaması: Ben I yoluyla gitti kaç kaynaklar için bir Singleton EJB 3.1 fasulye 'onu referans tarafından' bir Shiro DefaultSecurityManager uygulayabilirsiniz düşünüyorum. Başka fikirlerin var mı? Sonra kolayca bir önleme oluşturabilir ve uzaktan çağrılarıma ekleyebilirim - böylece yeni bir çağrı Uzaktan EJB yöntemimden geçiyor - Shiro Intereceptor kullanıcımı doğrulamak veya belirli hakları kontrol etmek için.

Herhangi bir yorum/ipucu/örnek?

çok teşekkürler

Answer 1

Shiro'nun itibaren bir ServiceLocator desen kullanmayı deneyin. EJB'nin aranması kaplar (JBoss, Netweaver, Weblogig, vb.) Arasında farklıdır.

Uygulama Sunucusu'nda, kabinin güvenlik kısıtlamalarını (@RolesAllowed, @PermitAll, @Deny ...) kullanmayı deneyin. JAAS konuyu kullanıcı prensipleri ile oluşturacaktır, bu yüzden sadece konteyner yetkilendirmesini kullanın (@RolesAllowed, @PermitAll, @Deny ...). Bir konteynırdan diğerine geçerken daha iyi olabilir.