2.10.4. 为应用程序配置 bearer 令牌身份验证
您可以使用 JWT 格式的 bearer 令牌(如 OpenID Connect ID 令牌)或者使用 OAuth2 兼容授权服务器发布的不透明令牌来配置应用身份验证。
先决条件
根据您需要的身份验证方法,完成以下步骤之一来创建
token-realm
:
流程
在
elytron
子系统中创建安全域。确保您在安全域中指定您的令牌安全域。在
elytron
子系统中创建安全域的示例./subsystem=elytron/security-domain=<security_domain_name>:add(realms=[{realm=<token_realm_name>,role-decoder=<role_decoder_name>}],permission-mapper=<permission_mapper_name>,default-realm=<token_realm_name>)
创建使用
BEARER_TOKEN
机制的http-authentication-factory
。创建
http-authentication-factory 的示例.
/subsystem=elytron/http-authentication-factory=<authentication_factory_name>:add(security-domain=<security_domain_name>,http-server-mechanism-factory=global,mechanism-configurations=[{mechanism-name=BEARER_TOKEN,mechanism-realm-configurations=[{realm-name=<token_realm_name>}]}])
在
undertow
子系统中配置application-security-domain
。在
undertow
子系统中配置application-security-domain
的示例:/subsystem=undertow/application-security-domain=<application_security_domain_name>:add(http-authentication-factory=<authentication_factory_name>)
-
配置应用的
web.xml
和jboss-web.xml
文件。您必须确保应用程序的web.xml
指定BEARER_TOKEN
身份验证方法。此外,确保jboss-web.xml
使用您在 JBoss EAP 中配置的application-security-domain
。
其他资源
-
有关
BEARER_TOKEN
身份验证机制的更多信息,请参阅 Bearer 令牌身份验证。 -
有关
token-realm
jwt
属性的更多信息,请参阅 如何配置服务器安全 指南中 的表 A.94. token-realm jwt Attributes。 -
有关可用于 OAuth2 令牌端点的属性的更多信息,请参阅 Table A.95。
token-realm
oauth2-introspection
Attributes。 -
有关配置应用程序的
web.xml
和jboss-web.xml
的更多信息,请参阅 如何 配置身份管理 指南中的 Web 应用程序以使用 Elytron 或传统安全性进行身份验证。