1
我有一個運行在tomcat應用服務器上的web應用程序(gwt)。該Web應用程序使用多種Web服務(登錄,應用程序數據傳輸,查詢等)。 tomcat上的Web服務客戶端實現爲apache axis2 Web服務客戶端。截取並轉發客戶端證書到web服務
對於用戶登錄,我使用用戶名和密碼在Web應用程序中提供表單。這些數據通過網絡服務傳輸以認證用戶。
計劃將孔認證機制更改爲基於客戶端認證的認證。身份驗證仍應在Web服務提供商一方完成。 所以我的系統有三個相關的組件:Web客戶端,Tomcat應用程序服務器和Web服務提供者。
該應用程序的每個用戶都有自己的私人客戶端證書(PKI令牌,X.509-驗證證書)。當用戶連接到Web應用程序時,他的證書被請求。
如何轉發客戶端證書以用於Web服務? (tomcat不會負責認證)。
1.)有沒有辦法在發生認證錯誤之前攔截請求並提取客戶端證書? 我發現一些關於Servlet過濾器的信息過濾器聽起來真的很好,但我不確定在它們與tomcats密鑰存儲庫進行驗證之前如何實施它以截取證書。
2.)如果可能的話,我該如何將客戶端證書傳遞給Web服務?
謝謝您的閱讀