分佈式應用程序中的Spring Security

Question

我們最近將我們的應用程序升級到Spring 3.0和Spring Security 3.0。除了我們想要做的額外工作之外，出於各種原因將後端與前端分開。我們計劃使用Spring的透明RMI解決方案將我們的服務展示給我們的前端。然而，現在設計的方式都是前端和後端都依靠Spring SecurityContext來保護未經授權的用戶的服務等。據我所知，SecurityContext是每個JVM？如果這是正確的，我怎樣纔能有效地與後端共享上下文？我會假設在需要它的RMI調用中傳遞身份驗證令牌？

Answer 1

以前曾經使用過Spring的HTTP調用者遠程處理，我可以說有對傳遞Spring安全令牌的內置支持。我假設Spring的RMI解決方案也具有這個功能，但是你需要在Spring的RMI類/ javadoc中進行深入的研究來證實這一點。

在客戶端，您需要ContextPropagatingRemoteInvocationFactory類，該類將自動在遠程調用中包含Spring安全上下文。