У меня уже есть приложение j2ee (jsf, cdi, jpa), которое отлично использует Apache Shiro, оно работает очень хорошо, и я наслаждаюсь синими аннотациями (hasRole, hasPermission и т. Д.).Apache Shiro (авторизация) + SiteMinder (аутентификация)
Теперь этот проект должен быть способен проверять подлинность с SiteMinder также, и тут приходит мой вопрос:
- Как я могу настроить Realm для обработки SiteMinder аутентификации без потери Shiro Авторизация (кажется, что SiteMinder даст me username и rolename в заголовке HTTP)
- Если я создаю пользовательское Realm, сделайте «doGetAuthenticationInfo» и зарегистрируйте пользователя на сеансе, что произойдет с SessionMinder Session?
- Если я установил «subject.getSession(). SetTimeout (1000);» в Сиро, что произойдет с сеансом SiteMinder, который уже имеет определенный тайм-аут?
Моя цель - использовать SiteMinder для проверки подлинности (и контролировать мою сессию) и позволить Широ только для авторизации. Сиро не может вмешаться в сеанс SiteMinder.