Как агент J2EE связывается с OpenAm?

Question

Я установил OpenAM в домене 1, и мое приложение находится в домене 2, защищенном агентом J2EE. Мой вопрос: после того, как я получаю доступ к моему приложению после проверки подлинности, агент связывается с сетью в openam (для авторизации), для каждый клик, который я делаю в своем приложении. Если ответ да, то какой эффект будет иметь влияние, если мой агент и openam находятся в двух доменах, которые географически разделены. Если ответ отрицательный, то как агент делает недействительным доступ к моему приложению , когда администратор аннулирует сеанс пользователя с домашней страницы openAm.

Answer 1

Агент должен связываться с OpenAM для принятия решений о разрешении, но он будет кэшировать полученное решение, поэтому последующие оценки будут локальными.

OpenAM может перезвонить агенту в контейнере (для этого используется агент agentapp.war). Это можно использовать для уведомления агента о том, что сеанс пользователя более недействителен. Например, если они вышли из OpenAM или их сеанс истек.

Эффект удара будет очень маленьким. OpenAM поддерживает установки с десятками миллионов пользователей, поэтому, если ваш сайт не очень большой, это не будет проблемой.

Как правило, вы хотите локализовать агент для трафика OpenAM в тот же центр обработки данных, когда это возможно. Если бы у вас было несколько регионов, вы хотели бы иметь экземпляры OpenAM в этих регионах. Они могут быть настроены для отказа друг от друга, если это необходимо.

Answer 2

По умолчанию Агент политики OpenAM и J2EE связывается в режиме уведомлений, поэтому OpenAM будет уведомлять (проверить поле notificationUrl в свойствах конфигурации) агента для любых событий выхода. Теперь, как упоминалось @ warren-странным, агент политики J2EE периодически отправляет запрос на сервер OpenAM, и таким образом он сможет узнать, существует ли токен и действителен.