Voor het project waar ik in werkzaam ben, is besloten dat JAAS als Security Framework geimplementeerd moet worden en ik heb deze taak "opgenomen".
De huidige methode om gebruikers tegenover de sessionbeans te authenticeren bestaat uit aangepaste ejbCreate methods waarin de username en een md5 hash van het password als argumenten mee worden gegeven.
In de ejbCreate method wordt vervolgens de username en md5pwd gecontroleerd. Indien de credentials niet goed zijn, dan geeft hij een CreateException terug.
Het grootste nadeel van deze methode, is dat een uniforme servicelocator erg lastig is om te bouwen aangezien je overal de juiste create method moet aanroepen die afwijkt van de standaard create method.
Daarom is er voor JAAS gekozen. Daarmee kan ik de principal uit de session context halen en kan ik ik de ejbCreate methods standaard houden.
Nu zijn me een aantal dingen onduidelijk:
Omdat de gebruikers tegenover meerdere resources moeten authenticeren, wil ik graag mijn eigen login module maken.
http://java.sun.com/j2se/...SLMDevGuide.html#Step%209
In de bovenstaande link staat een development guide om je eigen LoginModule te maken. Dit ziet er allemaal behoorlijk overzichtelijk uit, maar er is 1 ding wat ik niet snap.
Wordt de Login Module op de client of de server uitgevoerd.
Ik begrijp dat ik de loginContext.login() moet uit voeren vooradat ik de home ga opzoeken met de InitialContext. Maar de serverUrl wordt in de initialContext gezet, dus vraag ik me af tegenover welke source ik nu de user moet authenticeren.
Moet ik in de LoginModule de ejb UserManagement aanroepen en daartegen de gebruiken authenticeren?
De huidige methode om gebruikers tegenover de sessionbeans te authenticeren bestaat uit aangepaste ejbCreate methods waarin de username en een md5 hash van het password als argumenten mee worden gegeven.
In de ejbCreate method wordt vervolgens de username en md5pwd gecontroleerd. Indien de credentials niet goed zijn, dan geeft hij een CreateException terug.
Het grootste nadeel van deze methode, is dat een uniforme servicelocator erg lastig is om te bouwen aangezien je overal de juiste create method moet aanroepen die afwijkt van de standaard create method.
Daarom is er voor JAAS gekozen. Daarmee kan ik de principal uit de session context halen en kan ik ik de ejbCreate methods standaard houden.
Nu zijn me een aantal dingen onduidelijk:
Omdat de gebruikers tegenover meerdere resources moeten authenticeren, wil ik graag mijn eigen login module maken.
http://java.sun.com/j2se/...SLMDevGuide.html#Step%209
In de bovenstaande link staat een development guide om je eigen LoginModule te maken. Dit ziet er allemaal behoorlijk overzichtelijk uit, maar er is 1 ding wat ik niet snap.
Wordt de Login Module op de client of de server uitgevoerd.
Ik begrijp dat ik de loginContext.login() moet uit voeren vooradat ik de home ga opzoeken met de InitialContext. Maar de serverUrl wordt in de initialContext gezet, dus vraag ik me af tegenover welke source ik nu de user moet authenticeren.
Moet ik in de LoginModule de ejb UserManagement aanroepen en daartegen de gebruiken authenticeren?