需要有关Wildfly 9 SSO的帮助

Question

我想在Wildfly 9的同一实例上部署的两个应用程序之间实现SSO。我已经搜索过了，但从未获得足够的信息。

首先，我们必须从standalone.xml开始

 <subsystem xmlns="urn:jboss:domain:undertow:2.0">
        <buffer-cache name="default"/>
        <server name="default-server">
            <http-listener name="default" socket-binding="http" redirect-socket="https"/>
            <host name="default-host" alias="localhost">
                <location name="/" handler="welcome-content"/>
                <filter-ref name="server-header"/>
                <filter-ref name="x-powered-by-header"/>
                <single-sign-on domain="localhost"/>
            </host>
        </server>
        <servlet-container name="default">
            <jsp-config/>
            <websockets/>
        </servlet-container>
        <handlers>
            <file name="welcome-content" path="${jboss.home.dir}/welcome-content"/>
        </handlers>
        <filters>
            <response-header name="server-header" header-name="Server" header-value="WildFly/9"/>
            <response-header name="x-powered-by-header" header-name="X-Powered-By" header-value="Undertow/1"/>
        </filters>
    </subsystem>

然后在jboss-web.xml中输入以下安全域和阀的条目：

<jboss-web> 
    <security-domain>java:/jaas/other</security-domain>
    <valve> 
        <class-name>org.apache.catalina.authenticator.SingleSignOn</class-name> 
    </valve> 
</jboss-web> 

我不确定web.xml中的变化。

我认为我们必须提供有关安全约束和登录配置的信息。

请帮助我在群集和非群集环境中实现此概念。

Answer 1

尝试在default-server服务器下的default-host主机上添加以下行：

<single-sign-on path="/"/>

最后，它将如下所示：

<server name="default-server">
    <http-listener name="default" socket-binding="http" redirect-socket="https"/>
    <host name="default-host" alias="localhost">
        <location name="/" handler="welcome-content"/>
        <filter-ref name="server-header"/>
        <filter-ref name="x-powered-by-header"/>
        <single-sign-on path="/"/>
        </host>
</server>

我使用的是Wildfly 9.0.2最终版。

Answer 2

org.apache.catalina.authenticator.SingleSignOn不能在Tomcat AS上工作，因为Tomcat被Undertow替代为web容器。通常，您不需要对jboss-web.xml进行任何更改。

对于基于PicketLink的IdP，可以通过如下设置jboss-web.xml来开启PicketLink Authenticator：

<filter>
  <filter-name>IDPFilter</filter-name>
  <filter-class>org.picketlink.identity.federation.web.filters.IDPFilter</filter-class>
</filter>

<filter-mapping>
  <filter-name>IDPFilter</filter-name>
  <url-pattern>/*</url-pattern>
</filter-mapping>

Answer 3

我完成了"tiago“的回答，阀门在widlfy上不再受支持，因为它使用了新的web服务器，你可以把阀门放在jboss-web中，它根本不会做任何事情……

<single-sign-on domain="localhost"/>

这是错误的语法，因为域sso中存在错误

<single-sign-on path="/"/>

这是正确的语法，然后在您的web应用程序中，您将看到JSESSIONSSOID或类似于SESSIONID加号中的名称

picketLink对于使用单点登录来说太多了，因为它处理API REST SSO，社会安全，而且它是一个具有新的身份验证机制的特定模块，而且如果你要管理几个网址，因为你必须配置网址，它不是动态的……