用OPENAM保护with服务

Question

我正在尝试用Java创建一个安全的，可能是计量的web服务。

在我的研究中，我发现了很多关于OpenSSO的信息，并认为这是我的解决方案，直到我发现OpenAM已经接管了控制权，并且OpenSSO不再被开发了！

我有Tomcat7 7+OpenAM的最新版本已安装并已开始配置。

我的目标：

我希望有一个基于会话/令牌的身份验证，其中用户可以从安全web服务端点(OpenAM似乎提供了这个)请求令牌，而不是将该令牌包含在随后对受OpenAM保护的web服务端点的HTTP请求中。

我看到了关于如何为Apache...but创建“代理-策略”的指南，而不是Tomcat吗？也许我只是--我只是太天真了--也许我会为Tomcat使用Java策略？

最后，有一个很好的选择:当用户点击某个特定的服务时，我能够获取他们的经过身份验证的令牌，并使用它以某种有意义的方式(记录有关请求的信息)来“测量”服务-- OpenAM中是否有API挂钩，或者我是否应该计划在web服务内部实现这个功能？

我的问题是:是否有任何指南或示例项目演示这种类型的配置。OpenAM的文档很不错，但我想我需要更多的手握。

Answer 1

看看这个：https://wikis.forgerock.org/confluence/display/openam/OpenSSO+Spring+Security+(Acegi)+Integration

我们认为这是一种可能的解决办法。我们计划使用Spring来帮助我们的实现。

希望能帮上忙。

Answer 2

你认识特工吗？我认为以下信息解决了你的问题。

http://www.oracle.com/technetwork/java/wss-sdn-4-140497.html

ClientFilter对应于基于令牌的身份验证。网络服务端点由ClientHandler和ServerHandler保护.OpenAM有web服务安全信息、WSC配置文件和WSP配置文件，它们具有安全机制(SAML、Kerberos等)、加密等。