將自定義應用程序認證與JAVA EE安全性結合在一起。可能？

Question

當前設置：

1. 我們有兩個網絡應用程序（App1和App2）。
2. App1不使用任何驗證，因爲它純粹是信息性的。
3. 應用2使用的API認證（API連接到服務器的地方，以驗證用戶）
4. Application Server使用：的Websphere 8

問題：

1. 需要實現SSO對APP和應用2。我明白爲了能夠在Websphere中實現SSO，應用程序必須使用Java EE安全性進行身份驗證。當它有自己的自定義身份驗證過程時，是否仍有可能爲app2實現？爲了實現SSO兩個應用程序

感謝，

Answer 1

讓我們明確一點。你說App1根本不安全，App2通過一些自定義驗證過程來保護。對？

那麼對於App2 - > App1重定向，您不需要任何SSO，因爲App1不安全。而對於App1 - > App2重定向，任何SSO都無法實現，因爲App1沒有安全上下文可以通過。

如果App1也是安全的（無論如何，例如HttpAuth基本 - 可以是完全不同的身份驗證方法，而不是App2使用），並且這兩個應用程序都在IBM環境（例如WAS）上運行，使用LTPA SSO ：

1. 用戶訪問App1並通過HttpAuth Basic進行身份驗證。
2. WebSphere爲他創建了一個LTPA（SSO）令牌，並且該令牌與所有後續請求一起傳遞 - 用戶僅被驗證一次/ LTPA會話。
3. 如果同一用戶訪問在WAS上運行的app2，並且WAS服務器之間存在LTPA信任（自動在單元內，手動創建跨單元信任），並且用戶屬於同一個REALM ，它被視爲已通過身份驗證，並且不會進行App2自定義身份驗證。