阿帕奇四郎（授权）+的SiteMinder（认证）

Question

我有一个已经完成的J2EE（JSF，CDI，JPA）的应用程序，使用Apache四郎完美，它工作得很好，我很享受四郎注释（hasRole，调用hasPermission等）。现在

，这个项目必须能够还与SiteMinder的认证，并在这里我的问题是：

• 我怎样才能建立一个境界处理SiteMinder身份验证不失四郎授权（似乎SiteMinder的会给我的用户名和角色名在HTTP头）
• 如果我创建一个自定义的境界，做到了“doGetAuthenticationInfo”，并在会话日志的用户，将与SiteMinder的会话发生什么呢？
• 如果我设置了“subject.getSession（）。setTimeout（1000）;”在Shiro中，SiteMinder会话会发生什么情况，并且已经定义了超时？

我的目的是向用户SiteMinder进行身份验证（并控制我的会话）并让Shiro仅用于授权。 Shiro不能侵入SiteMinder Session。

Answer 1

我怎样才能建立一个境界处理SiteMinder身份验证不失四郎授权（似乎SiteMinder的会给我在HTTP头中的用户名和角色名）

在这种情况下，你需要有2领域一个处理身份验证，另一个处理授权看一看this one对于如何

如果我创建一个自定义的境界，做到了“doGetAuthenticationInfo”，并在会话日志的用户，将与SiteMinder的发生什么会议？

您的自定义真正负责的是客户端的SiteMinder所以doGetAuthenticationInfo将返回无论你从后面的SiteMinder我不熟悉的SiteMinder，但你可能要检查CAS realm作为一个例子

如果我设置“subject.getSession（）。setTimeout（1000）;”在Shiro中，SiteMinder会话会发生什么情况，并且已经定义了超时？

我认为这是一个混乱这里当您使用SSO解决方案的会议由SSO服务器管理，而不是客户端