Apache Shiro (авторизация) + SiteMinder (аутентификация)

Question

У меня уже есть приложение j2ee (jsf, cdi, jpa), которое отлично использует Apache Shiro, оно работает очень хорошо, и я наслаждаюсь синими аннотациями (hasRole, hasPermission и т. Д.).

Теперь этот проект должен быть способен проверять подлинность с SiteMinder также, и тут приходит мой вопрос:

• Как я могу настроить Realm для обработки SiteMinder аутентификации без потери Shiro Авторизация (кажется, что SiteMinder даст me username и rolename в заголовке HTTP)
• Если я создаю пользовательское Realm, сделайте «doGetAuthenticationInfo» и зарегистрируйте пользователя на сеансе, что произойдет с SessionMinder Session?
• Если я установил «subject.getSession(). SetTimeout (1000);» в Сиро, что произойдет с сеансом SiteMinder, который уже имеет определенный тайм-аут?

Моя цель - использовать SiteMinder для проверки подлинности (и контролировать мою сессию) и позволить Широ только для авторизации. Сиро не может вмешаться в сеанс SiteMinder.

Answer 1

Как я могу настроить Realm для обработки SiteMinder аутентификации без потери Shiro Авторизация (кажется, что SiteMinder даст мне имя и RoleName в HTTP Header)

В этом случае вы должны будете иметь 2 царства один, который выполняет проверку подлинности, а другая для обработки взять разрешение взглянуть на this one для того, как

Если создать пользовательскую Сферу, сделать «doGetAuthenticationInfo» и войти пользователь в сессии, что будет происходить с SiteMinder Сессия?

Ваш заказ реальный будет нести ответственность быть клиентом SiteMinder так doGetAuthenticationInfo вернет все, что вы получите обратно от SiteMinder Я не знаком с Siteminder, но вы можете проверить CAS realm в качестве примера

Если я установил «subject.getSession(). SetTimeout (1000);» в Сиро, что произойдет с сеансом SiteMinder, который уже имеет определенный тайм-аут?

Я думаю, что есть путаница, когда вы используете SSO решение сеанс управляется сервером SSO и не клиент