Безопасность Spring в распределенном приложении
Мы недавно обновили наше приложение до Spring 3.0 и безопасности Spring 3.0. Независимо дополнительной работы мы хотим сделать, должен разделить бэкенд от фронтэнда по различным причинам. Мы планируем использовать прозрачное решение RMI Spring для представления наших сервисов к нашему фронтэнду. Однако способ, которым вещи разработаны сегодня и и бэкэнд фронтэнда, полагается на пружинный SecurityContext для защиты сервисов и т.д. от неавторизованных пользователей. Из того, что я понимаю, SecurityContext на JVM? Если это корректно, как я могу эффективно совместно использовать контекст с бэкендом? Я принял бы передачу в аутентификационном маркере на вызовах RMI, которые требуют его?
1 ответ
Имея опыт работы с HTTP invoker remoting от Spring, я могу сказать, что там есть встроенная поддержка передачи токенов безопасности Spring. Я предполагаю, что решение Spring RMI также имеет эту возможность, но вам нужно покопаться в Spring RMI классах/javadoc, чтобы подтвердить это.
На стороне клиента вам понадобится класс ContextPropagatingRemoteInvocationFactory, который будет автоматически включать контекст безопасности Spring при удаленном вызове.