我正在尝试在 webapp 和 REST API 之间设置 SSO,为此我使用的是 Apache Shiro + Jasig CAS,但现在我遇到了与 REST API 身份验证相关的问题。 我在 Webapp 中使用 CASRealm + CASFilter 并尝试使用在那里创建的会话来访问 REST API,我尝试了 2 种方法:
通过请求头将 CAS 服务票证从 webapp 传播到 REST API(不起作用,它说服务票证无效,因为它属于另一个应用程序,也许 TGT 会起作用)
在 webapp 中存储用户名和密码,并在 http 基本身份验证中使用它们(这可能是一个很大的安全漏洞,我正在努力避免它)
我还可以使用哪些其他方法在 REST API 中对用户进行身份验证?
我想这主要是一个架构问题。 如果您不理解我的问题(或我的英语),请提出问题
【问题讨论】:
标签: java rest single-sign-on cas shiro
您似乎想使用第一个 CAS 服务作为 REST API 的代理:您可以使用 CAS 代理机制:https://wiki.jasig.org/display/CAS/Proxy+CAS+Walkthrough。虽然 Shiro CAS 模块中不提供代理支持,但您应该使用 buji-pac4j 扩展,这里有一个很好的讨论:http://shiro-user.582556.n2.nabble.com/Shiro-cas-proxying-td7579694.html。
【讨论】:
INFO [org.jasig.cas.client.proxy.ProxyGrantingTicketStorageImpl] - <No Proxy Ticket found for [PGTIOU-15-d4Cm3cF2StBgXXqF4dt1-cas01.example.org].> 和casProxyProfile.getProxyTicketFor(serviceName) 返回null。有什么想法吗?
您可以在 CAS 上启用 OAuth2.0 配置,然后您可以使用 oauth2.0 保护您的 REST 服务。例如,您可以使用带有 oauth 的休息服务进行用户身份验证。这里有一些有用的链接。
【讨论】: