Учитывая веб-приложение (работающее на сервере Tomcat в безопасной среде), которое не выполняет аутентификацию само по себе, но доверяет любой аутентификации, которая произошла вне приложения, и просто захватывает принципала из заголовка «Авторизация» HTTP Basic для поиска вошедшего в систему пользователя. , как можно настроить OpenAM для установки этого заголовка после обработки аутентификации?
как заставить OpenAM вставить заголовок Authorization: Basic
Ответы (1)
Если это веб-приложение, оно может смотреть на 'http://docs.oracle.com/javaee/6/api/javax/servlet/http/HttpServletRequest.html#getRemoteUser()' или 'http://docs.oracle.com/javaee/6/api/javax/servlet/http/HttpServletRequest.html#getUserPrincipal()' вместо этого. Они могут быть установлены агентом J2EE. Я бы сказал, что повторное воспроизведение пароля (который закодирован в base64 внутри) HTTP-заголовка авторизации не подходит. Если это действительно необходимо, вам, возможно, придется воспользоваться OpenIG.
-Бернхард
person
Bernhard Thalmayr
schedule
02.07.2013
Предположим, что веб-приложение изменено для использования любого из этих методов, что нужно сделать с точки зрения конфигурации OpenAM, чтобы убедиться, что они установлены? Я прочитал в документации OpenAM: com.sun.identity.agents.config.userid.param Агент устанавливает это значение для идентификатора пользователя, переданного в сеансе из OpenAM, в серверную переменную REMOTE_USER. По умолчанию: UserToken. Означает ли это, что getRemoteUser() должен возвращать значение по умолчанию?
- person herman; 02.07.2013
