У меня есть несколько разработанных Java-приложений. Оба приложения имеют отдельную логику аутентификации на основе некоторой реализации каталога ActiveX.
Теперь мне нужно изменить это на проверку подлинности Windows, чтобы всякий раз, когда пользователь попадает на URL-адреса моих веб-приложений, вместо того, чтобы перенаправлять его на страницу входа, мне нужно проверить его учетные данные Windows.
Я не хочу хранить его учетные данные в Windows.
Есть ли хороший способ сделать это?
В зависимости от уровня интеграции, который требуется вашему веб-приложению, Spring Безопасность, вы должны были охватить практически все аспекты того, что вам нужно.
Если перенаправление на страницу входа и аутентификация введенных учетных данных на сервере Active Directory через LDAP приемлемо, то расширение LDAP - это путь.
Если вы хотите больше потока единого входа (SSO), и ваши пользователи уже прошли аутентификацию против авторитетного сервера Active Directory, о котором идет речь (например, они вошли в домен), тогда плагин Kerberos для Spring Безопасность может быть более привлекательной, так как вашим пользователям просто нужно будет перейти в веб-приложение и не придется проходить какие-либо другие шаги аутентификации. Системы позаботятся об этом за кулисами.
Вы также можете комбинировать/накладывать эти подходы, если вы и сначала попробуете аутентификацию на основе Kerberos, и если это произойдет, вернитесь к форме входа и аутентификации на основе LDAP.
Если вам нужно выйти за рамки этого, Spring Безопасность достаточно гибкая, чтобы вы могли использовать OpenID или аутентификацию в приложении, если это необходимо.
Я рекомендую использовать Active Directory, чтобы выставить его уровень проверки подлинности Windows поверх LDAP, а затем можно нажать на Spring Безопасность.
Это эффективно заставило бы любого пользователя, использующего ваше приложение, использовать свой вход в Windows.