-AbeAdapti-
Mitglied
Hi,
folgendes Problem, ich hab hier ein altes "Classic ASP" Projekt (IIS5), welches Stück für Stück auf Java portiert werden soll. Der Login geschieht derzeit noch über ASP, nun möchte ich aber das damit die Java Seiten auch authentifizieren (möchte aber die Standard Security von Tomcat nutzen mit web.xml - ähnl. Form Authentifizierung und Authentifizierung).
Hab mir schon Gedanken gemacht über Single-Sign-On Server, aber da steht die Kompatibilität mit dem alten ASP Code infrage.
Andere Idee wäre es den Standard Login-mechanismus von Tomcat zu umgehen*1 und sich z.B. über eine SessionId von ASP zu authentifizieren (z.b. GET/POST/COOKIE ?sessionID=...) und diese dann über eine vertrauenswürdige dritte Stelle nachzuprüfen, die beide ansprechen können(z.B. DB oder LDAP). Da gibt es ja Möglichkeiten LoginModule abzuleiten und sie mit eigenen Datenquellen zu füttern *2 Nur möcht ich halt nicht über eine FORM gehen, sondern alles innerhalb eines einfachen PageRequest authentifizieren und authorisieren.
Ich hoffe ihr versteht in welche Richtung das geht
*1
*2 login-config.xml
folgendes Problem, ich hab hier ein altes "Classic ASP" Projekt (IIS5), welches Stück für Stück auf Java portiert werden soll. Der Login geschieht derzeit noch über ASP, nun möchte ich aber das damit die Java Seiten auch authentifizieren (möchte aber die Standard Security von Tomcat nutzen mit web.xml - ähnl. Form Authentifizierung und Authentifizierung).
Hab mir schon Gedanken gemacht über Single-Sign-On Server, aber da steht die Kompatibilität mit dem alten ASP Code infrage.
Andere Idee wäre es den Standard Login-mechanismus von Tomcat zu umgehen*1 und sich z.B. über eine SessionId von ASP zu authentifizieren (z.b. GET/POST/COOKIE ?sessionID=...) und diese dann über eine vertrauenswürdige dritte Stelle nachzuprüfen, die beide ansprechen können(z.B. DB oder LDAP). Da gibt es ja Möglichkeiten LoginModule abzuleiten und sie mit eigenen Datenquellen zu füttern *2 Nur möcht ich halt nicht über eine FORM gehen, sondern alles innerhalb eines einfachen PageRequest authentifizieren und authorisieren.
Ich hoffe ihr versteht in welche Richtung das geht
*1
Code:
<login-config>
<auth-method>FORM/DIGEST/BASE/...</auth-method>
<realm-name>loginRealm</realm-name>
<form-login-config>
<form-login-page>/login.jsp</form-login-page>
<form-error-page>loginError.jsp</form-error-page>
</form-login-config>
</login-config>*2 login-config.xml
Code:
<application-policy name="CustomLoginModul">
<authentication>
<login-module code="de.security.CustomLoginModul" flag="required"/>
</authentication>
</application-policy>
