سلام

چه راه مناسبی برای احضار هویت کاربرها و قابلیتهای (مثل افزودن و ...)‌ در سرویسهای جاوا وجود داره؟

من چند تا روش می دونم اما زیاد به دلم نمی شینه و یا اینکه توی جاوا درست جواب نمی ده مخصوصا برای سرویسها. یکی از اونها استفاده از توکن هست که سایتهای معروف مثل eBay هم این شکلی کار می کنن و یکی دیگه از طریق پروتکل http هست که کلا منتفی هست این روش از نظر من.

جاوا راه حل استاندارد و مناسبی برای اینکار ارائه کرده؟ مخصوصا راه حلی که با سرویسها مخصوصا سرویسهای Rest کار کنه؟

احراز هویت != احضار هویت

جاوا هم مثل تمام زبان های از الگوریتم های رمزنگاری و تبادل کلید پشتیبانی می کنه و همینطور rpc کال
ولی بطور اختصاصی این سرویس را داره : Java Authentication and Authorization Service (JAAS)

احراز هویت != احضار هویت

اوه اوه چه سوتی دادم. مرسی. راستش رو بخوای نیم ساعت داشتم به معادل فارسیش فکر می کردم.


من تا حالا با JAAS کار نکردم. این API برای احراز هویت کاربرها جواب می ده؟ پروتکل خاصی داره؟ (چون بعضی از سرویسهای من توسط زبانهای دیگه نوشته خواهند شد) و در نهایت برای رمز نگاری بهتر نیست از SSL استفاده کرد؟

اوه اوه چه سوتی دادم. مرسی. راستش رو بخوای نیم ساعت داشتم به معادل فارسیش فکر می کردم.


من تا حالا با JAAS کار نکردم. این API برای احراز هویت کاربرها جواب می ده؟ پروتکل خاصی داره؟ (چون بعضی از سرویسهای من توسط زبانهای دیگه نوشته خواهند شد) و در نهایت برای رمز نگاری بهتر نیست از SSL استفاده کرد؟

بله تمام چیز هایی که شما برای یک ارتباط امن نیاز دارید توسط SSL فراهم شده و ابتدا کلاینت و سرور با الگوریتم دیفی هلمن بر سر کلید ها و نشت به توافق می رسند و بعد از اون تمام نشست بوسیله کلید مورد نظر و الگوریتم رمز نگاری متقارن رمز می شه و شما می تونید همون api که درست می کردید را به جای http از https فراخوانی کنید و با خیال آسوده احراز هویت کنید سرتیفیکیتم که lets encrypt به شکل رایگان فراهم کرده منتها این پروتکل می تونه مورد حمله man in middle قرار بگیره...
من خودمم تا الان با JAAS کار نکردم :D