Как лучше всего выполнять аутентификацию и авторизацию в веб-службах?
Я разрабатываю набор веб-служб, требующих управления доступом на основе ролей. Используя metro-SOAP, простую Java без EJB.
Пока:
Прочтите аутентификацию приложения с помощью jax-ws - но я не хочу использовать механизм аутентификации каждый раз;
Я думаю, что могу использовать обработчик SOAP для перехвата всех сообщений и выполните контроль авторизации в обработчике, используя некоторый токен идентификатора сеанса, который поставляется с сообщением, который может быть сопоставлен с идентификатором, сохраненным в базе данных, в веб-методе входа в систему.
РЕДАКТИРОВАТЬ:
У меня все еще есть несколько вопросов:
РЕДАКТИРОВАТЬ 2
Из-за @ ag112 ответ:
Я использую Glassfish.
Я использую WS-Policy и WS-Security для шифрования и подписи сообщений. Использование взаимной проверки подлинности сертификатов. Я хотел бы дополнить этот уровень безопасности сообщений между приложениями, с аутентификацией и авторизацией для пользователей также на уровне сообщений.
Я просто разрабатываю сервисы, и я почти ничего не знаю о клиентах, просто они могут быть созданы на разных языках.
На этом этапе я думаю, что самое важное - делать то, что мне нужно. сделать для аутентификации и аутентификации пользователей, я самый простой способ реализовать для клиентских приложений.