这两天搞SSO,以前对JAAS了解也不多,所以基础就差。昨天把CAS实现SSO配置成功了,可以实现多系统的SSO,与数据库配置也成功,但这只是统一认证部分,还有另一部分就是角色权限控制。
今天上午开始看jGuard,听说可以用jGuard和CAS可以集成,到现在没有什么思路,有几个问题:
1.用CAS作统一认证,jGuard作权限控制,jGuard用CAS取出的每个用户的角色吗?在CAS中怎样取出用户对应的角色呢?取出角色保存在哪里?session ?
2.二者怎样来集成呢? 在CAS中写个类来转发吗?
没有人用过吗?
Yale的CAS是一种类似Kerberos的Network Authentication Protocol,
只是实现单点登陆SSO一部分安全功能,在一般性网站中无必要使用。
JGuard是和基于Web容器的权限验证一样道理,但是它没有解决组件的方法级别访问,需要依赖组件级别的授权,如EJB的安全配置 或Jdon/Spring的拦截器配置。
JGuard是基于JAAS的,和CAS结合只有在这个层次结合,可研究JAAS的用法。
个人认为:这个方向是吃力不讨好,直接使用基于容器的安全认证(Web+EJB)再加客户端安全cookie,完全轻松对付一般网站的SSO。
另外,SSO再安全也没有用,SOA架构会着力解决这方面问题。
以上个人意见。
http://www.jdon.com/idea/jaas/06001.htm