Wybór biblioteki Kerberos (SPNEGO) Java dla pojedynczego logowania aplikacji WWW

Question

Obecnie pracuję nad wdrożeniem mechanizmów uwierzytelniania przedsiębiorstw w naszej aplikacji internetowej Java, w tym jednokrotnego logowania. Sieci Windows są naszym głównym celem, a Kerberos to rozsądny wybór. Sidenote: O ile rozumiem, protokołem używanym w środowisku sieciowym (HTTP) do SSO jest SPNEGO i jest to w zasadzie wrapper wokół Kerberos. Wygląda więc na to, że biblioteki SSO HTTP Kerberos używają SPNEGO - popraw mnie, jeśli się mylę.

Gdy zacząłem badać ten temat, zdałem sobie sprawę, że nie ma oczywistego wyboru. Pozwól mi wymienić te:

1. . To było pierwsze, na które patrzyłem (ponieważ korzystamy już z ochrony Spring), ale wydaje się, że kilka lat temu utknęły one w drugim punkcie kontrolnym w wersji 1.0.0. Tylko ta SO question daje niewielką nadzieję, że można go wykorzystać do produkcji.
2. WAFFLE - Windows Authentication Functional Framework. Wydaje się być aktywny i bogaty w funkcje. Może być "podłączony" jako ogólny serwlet, a także jako Spring security filter.
3. SPNEGO SourceForge. Wydaje się bardzo lekki, zapewnia filtr HTTP serwletów, tutoriale są łatwe do naśladowania.

Czy są jakieś szczególne powody, aby wybrać jedną opcję w stosunku do drugiej? Czy są jakieś inne opcje?

Answer 1

Po pierwsze, twoje założenie jest poprawne. Potrzebujesz SPNEGO, aby wykonać SSO z HTTP.

1. Można to rozsądnie używać tylko na wiosnę. Jeśli masz to, masz na to. Używamy go przez ponad dwa lata. Czy to jest praca.
2. Działa to tylko w systemie Windows.
3. Używa tego samego JGSS co Spring, ale jest agnostyczny. Wydaje się, że działa bardzo dobrze.

Jeśli korzystasz z Tomcat 7, masz już wbudowaną obsługę. Przekazałem odpowiedni kod. Powinieneś sprecyzować to, czego dokładnie oczekujesz. Jeśli nie masz żadnych oczekiwań, ale uwierzytelnienie użyj albo 3 albo 1 ze sprężyną.