Apache (授权)+ SiteMinder (身份验证)

Question

我有一个已经完成的j2ee(jsf、cdi、jpa)应用程序，它完美地使用了Apache，它运行得很好，而且我喜欢Shiro注释(hasRole、hasPermission等)。

现在，这个项目还必须能够使用SiteMinder进行身份验证，下面是我的问题：

• 如何在不丢失Shiro授权的情况下设置一个处理SiteMinder身份验证的领域(似乎SiteMinder将在Header中给出用户名和滚动名)
• 如果我创建了一个自定义领域，那么"doGetAuthenticationInfo“并在会话中记录用户，SiteMinder会话会发生什么？
• 如果我在Shiro中设置了"subject.getSession().setTimeout(1000);“，那么已经定义了超时的SiteMinder会话会发生什么？

我的目的是用户SiteMinder进行身份验证(并控制我的会话)，让Shiro只进行授权。Shiro不能侵入SiteMinder会话。

Answer 1

如何在不丢失Shiro授权的情况下设置一个处理SiteMinder身份验证的领域(似乎SiteMinder将在Header中给出用户名和滚动名)

在本例中，您需要有两个领域--一个处理身份验证，另一个处理授权--看看这一个如何

如果我创建了一个自定义领域，那么"doGetAuthenticationInfo“并在会话中记录用户，SiteMinder会话会发生什么？

您的自定义real将负责成为SiteMinder的客户端，因此doGetAuthenticationInfo将返回您从SiteMinder获得的任何信息，我不熟悉Siteminder，但您可能会检查CAS领域作为示例

如果我在Shiro中设置了"subject.getSession().setTimeout(1000);“，那么已经定义了超时的SiteMinder会话会发生什么？

我认为当您使用sso解决方案时，会话是由sso服务器而不是客户端管理的。