Implémentation d'un fournisseur d'authentification personnalisé à l'aide de JASPI
Vous pouvez implémenter un fournisseur d'authentification personnalisé à l'aide de Java™ Authentication SPI for Containers (JASPI, parfois appelé JASPIC) pour gérer l'authentification Java Platform, Enterprise Edition (Java EE) de messages de requête HTTP et de réponse destinés aux applications Web.
Avant de commencer
Pour réaliser une authentification JASPI, la sécurité d'application doit être activée dans une configuration de sécurité globale ou de domaine et vous devez redémarrer le serveur pour que les changements de configuration soient pris en compte. Pour plus d'informations, voir la rubrique relative à la sécurité des applications.
Pourquoi et quand exécuter cette tâche
La présente édition de WebSphere Application Server prend en charge la spécification JSR 196 : Java Authentication SPI for Containers (JASPI, parfois appelé JASPIC) qui permet aux fournisseurs de sécurité tiers de traiter les messages de demande et de réponse HTTP destinés aux applications Web de Java Platform, Enterprise Edition (Java EE). La spécification JASPI étend les concepts d'authentification connectables de JAAS (Java Authentication and Authorization Service) à l'authentification des messages de requête HTTP et de réponse. Si la sécurité des applications est activée, lors de l'accès à une ressource Web protégée, le conteneur Web et l'environnement d'exécution de la sécurité collaborent afin de prendre une décision d'authentification pour l'appelant. Lorsque vous utilisez un fournisseur JASPI tiers, la décision relative à l'authentification est déléguée à ce fournisseur.
La spécification JASPI définit des interfaces de programmation système standard qui permettent aux développeurs de créer un fournisseur d'authentification personnalisé connectable pouvant gérer les mécanismes d'authentification Web Java EE ainsi qu'un quelconque processus d'authentification étendu. L'exécution de WebSphere Application Server utilise ces interfaces de programmation système standard pour appeler le fournisseur d'authentification JASPI. Pour plus d'informations, consultez la section Servlet Container Profile dans JSR 196 : spécification Java Authentication Service Provider Interface for Containers pour connaître les conditions que ces fournisseurs d'authentification tiers doivent remplir.
Si la sécurité des applications est activée avec l'authentification JASPI, lors de l'accès à la ressource Web, telle qu'un servlet ou un fichier JSP (JavaServer Pages), l'environnement d'exécution de la sécurité vérifie si la ressource Web est associée à un fournisseur JASPI défini dans la configuration de sécurité. Le cas échéant, l'environnement d'exécution appelle le fournisseur d'authentification JASPI pour effectuer l'authentification pour les messages de réponse et de requête HTTP.
Pour implémenter un fournisseur d'authentification personnalisé à l'aide de JASPI, procédez comme suit :