使用CAS进行的用于休息服务呼叫的身份验证

Question

在我们当前的设置中，我们有大约十几个部署到单个Tomcat服务器的Web应用程序。其中一个应用程序是用于所有授权的CAS。

这很好用，在我们的jRuby web应用程序中，我们使用rubycas-client gem，指向CAS并完成了。

现在我们有一个需求，在Java组件中，我们需要能够通过驻留在同一服务器上的其他Web应用程序调用另一个Web应用程序。我的第一个想法是使用CAS代理门票，但是我们当前必须打开的Web应用程序没有启用此功能，并且由于环境的性质，此功能无法更改。

因此，据我所知，我们仍然试图通过在我们的Web应用程序中使用指向另一个（我们都在同一个域和服务器上）的iframe来模拟用户，并刮掉它的sessionid模拟并将其传递给Java层。但我真的，真的不想这样做。

我错过了什么？有没有更好的方法来做到这一点？有没有一种方法可以获得没有iframe的sessionid？

谢谢！

Answer 1

如果您想使用CAS标识从Web应用程序调用Web服务，那么您当然应该使用CAS代理功能。 如果您不能将您的Web服务分级，则还有另外一种选择：您可以使用CAS模块的Apache模块：https://wiki.jasig.org/display/CASC/mod_auth_cas。