Java 在JBoss中保护RESTAPI_Java_Web Services_Jboss_Resteasy_Restful Authentication

Java 在JBoss中保护RESTAPI

java web-services jboss

Java 在JBoss中保护RESTAPI,java,web-services,jboss,resteasy,restful-authentication,Java,Web Services,Jboss,Resteasy,Restful Authentication,我正在JBossAS7下开发一个RESTeasyJSONAPI 我有另一个单独的web服务器我在服务器端使用JAVA进行开发，在客户端使用javascript、JQuery、AJAX进行开发因此，我有两个不同的war，假设它们可以如下访问： https//localhost:8443/services http://localhost:8080/web 现在我想保护这两个人RESTeasy API和web服务器让我谈谈我的结构：我使用用户名密码将用户保存在DB。目前只有这些用户我

我正在JBossAS7下开发一个RESTeasyJSONAPI

我有另一个单独的web服务器

我在服务器端使用JAVA进行开发，在客户端使用javascript、JQuery、AJAX进行开发

因此，我有两个不同的war，假设它们可以如下访问：

https//localhost:8443/services
http://localhost:8080/web

现在我想保护这两个人RESTeasy API和web服务器

让我谈谈我的结构：

我使用用户名密码将用户保存在DB。目前只有这些用户
我有一个登录页面来验证我的用户（我不想要http基本身份验证弹出窗口和任何解决方法）
RESTAPI的客户端是浏览器（不是web服务器）。加载静态页面，然后通过RESTAPI加载其他一些动态内容，使用JQuery、AJAX等从浏览器中调用
所有通信都可以通过SSL/TLS进行，没有问题
对于未来，应考虑可伸缩性（web浏览器以外的客户端、通过社交网络登录进行身份验证的能力等）

我的设想如下：

客户端是浏览器
客户端希望访问一个网页
```
web/aaa.html
```
，该网页仅限于经过身份验证的用户
客户端被重定向到登录页面：
```
web/login.html
```
客户填写表格并发送至。。。或者
a）到rest api，或
b）到web服务器
不确定（所以，这里有一个隐含的问题）
但在任何情况下，a或b应该做的是相同的：
检查用户名和密码。假设它们已被检查，并且用户已通过身份验证
从现在起，我应该同时得到这两样东西：
1-客户端被授权浏览受限制的页面
2-客户端将被授权进行REST API调用

所以，我需要这两件事同时发生，在登录页面验证后

我读过很多关于REST API中的授权、令牌、密钥等的内容，是的，我还听说过Spring Security、ApacheShiro等

是的，我不想自己实现一个新的安全框架，我将使用一个。我想象一些框架可以为我生成/检查令牌等

在Spring Security和ApacheShiro之前，我想了解一下resteasy骨架密钥JBoss模块

有以下来源：

但是，它们对我来说似乎不是很明确，而且我也不确定它们是否是我所需要的

有没有人知道如何配置skeleton key（或者一般的JBoss应用层）并给我一个有用的例子来实现我所描述的

或者，你能给我一些其他的建议/例子来实现我的目标吗，特别是我的问题是关于“如何实施”？我不知道从哪里开始

提前感谢。

为了保护REST服务，我们可以使用以下框架

OAuth（开源-）
阿皮吉

您应该在Sourceforge RestEasy邮件列表上发布此问题。《RestEasy》一书的作者比尔·伯克（Bill Burke）活跃在这一名单上。短网址：