如何禁用或限制访问opensso / openam身份服务

Question

我想知道如何禁用对/identityservices/*和其他opensso / openam servlet的访问。

问题是，我编写了自己的身份验证模块来实现强身份验证。在我的例子中，/identityservices/*只允许获得用户名和密码的token.id是不够安全的，我想禁用它。

我想我可以通过更改opensso / openam web.xml来禁用它，但我想知道有没有更“聪明”的方法。

有什么建议吗？感谢你的帮助

Answer 1

从OpenAM的观点来看，没有其他方法。当然，你可以用一个反向代理来“保护”OpenAM，它不允许请求这些URL。

如果您禁用了基于模块的身份验证，并且没有允许用户名/密码身份验证的auth-chain，那么这可能也不是问题

Answer 2

OpenAM文档提到了另一种“最小化OpenAM暴露”的方法:分布式身份验证服务。更多信息请点击此处：http://openam.forgerock.org/openam-documentation/openam-doc-source/doc/install-guide/index/chap-install-das.html