Sono in una situazione in cui ho un'applicazione Web (WAR) che accede a un servizio REST fornito da un'altra applicazione. Il servizio REST utilizza l'autenticazione HTTP di base.
Ciò significa che l'applicazione che chiama il servizio REST deve memorizzare le credenziali dell'utente in qualche modo. Per complicare ulteriormente le cose, questa è un'impresa, quindi ci sono diverse "regioni" attraverso le quali l'applicazione avrà credenziali diverse per lo stesso servizio (si pensi allo sviluppo locale, alla regione di sviluppo, alla regione di integrazione, alla regione di test degli utenti, alla produzione, ecc. .)
Il mio primo istinto è che le credenziali dovrebbero essere memorizzate dal contenitore JEE e l'applicazione dovrebbe chiedere al contenitore le credenziali (probabilmente tramite JNDI?). Sto iniziando a leggere su Java Authentication and Authorization Service (JAAS) ma non sono sicuro che sia la soluzione appropriata a questo problema.
In che modo le credenziali di un negozio di applicazioni JEE possono accedere a un sistema esterno?
Qualche altro dettaglio sulla mia GUERRA. È un progetto di integrazione primaverile che non ha front-end. Il contenitore con cui lavoro è Websphere. Sto usando JEE 5 e Spring 4.0.1.
A questo punto non ho avuto bisogno di prendere in considerazione la sicurezza di primavera ... questa situazione significa che dovrei rivalutare questa decisione?