分布式spring应用中的身份验证与会话管理

Question

我正在将单个模块spring web应用程序迁移到基于JMS的模块化体系结构中。这个链接现在具有应用程序的结构和我的目标。

我将使用一个基于CAS的SSO服务器来进行身份验证。技术栈将是spring、Apache、ActiveMQ和security/apache。

例如，我将拥有一个库存应用程序、财务应用程序和CAS应用程序(SSO Server)。在某些地方，我必须管理一个集中的会话存储，它将保存当前的userid及其首选项。

用例：

1. 用户登录到CAS SSO并进入库存模块。库存模块将获得当前的userid和它的首选项(从中央会话存储?)一笔销售交易将被启动。
2. 清单完成后，它通过Apache向财务部门发送JMS消息，以便发布会计分录。
3. 财务应用程序从会话中获取当前用户的id和首选项，并完成帐户过帐。

如何为上述场景创建公共会话存储(基本连接到SSO服务器)( session将有所帮助？)以及如何使每个应用程序知道谁是实际用户来执行此事务。

Answer 1

好的，这是一个没有回答的老问题，请查看Session，这正是它是为什么而设计的。

到目前为止，最常见的会话存储是Redis，但它也支持其他存储，例如，我使用Hazelcast。

此外，使用CAS只会影响Security，所以您使用什么来验证用户的身份与如何管理会话无关。

在身份验证时，请记住在服务(服务联合)之间有另一层身份验证，所以不只是系统之外的任何人都向您的服务发送消息。