Java 如何通过t3将诸如kerberos之类的身份验证令牌传递给Weblogic服务器

我从事的一个项目旨在将单点登录（SSO）向后移植到现有的基于Weblogic/T3的企业应用程序。理想情况下，我能够利用我们的Windows环境，使用JAAS LoginContext和GSSAPI执行此身份验证。不幸的是，Weblogic提供的InitialContext并没有对此进行记录（或者至少我还没有找到它），其他人似乎也没有对此进行过探索

一个想法是对Kerberos领域（Microsoft Active Directory）进行身份验证，选择服务票证并通过上下文环境传递。然后，服务器端需要自定义标识符来提取和验证服务票证

您知道如何创建和配置这样的标识服务器吗？如何将周界上经过身份验证的主体映射到应用程序主体

---

我们已经考虑过将应用程序转换为使用http/https而不是t3/t3s，但没有计划遵循这一路径，预计重新设计和相关测试的繁重任务可能会超出当前项目范围。因此，SPNEGO、servlet过滤器、NegotiateIdentityAssert和相关技术不会给我们提供太多帮助

你想知道为什么吗？这将允许将用户的真实身份一直传播到数据库。虽然这本身可能是一个真正的技术挑战，但它最终将允许我们对数据库模式应用完全的访问保护？正当我们不期望出现真正的性能问题，因为应用程序使用模式显示的事务频率和数据库事务时间相当低，足以假设每个事务的连接和断开连接不会产生实际影响？任何具有良好的、支持Kerberos的纯javajdbc驱动程序的DBMS都可能正常工作。我们目前使用Oracle的存储过程（我认为）非常少。