第 3 章在使用 OIDC 时将身份从 Servlet 传播到 Jakarta Enterprise Bean

您可以通过两种方式将从 OpenID Connect (OIDC)供应商从 Servlet 获取的安全身份传播到 Jakarta Enterprise Beans：

3.1. 使用 OIDC 时的身份传播到 Jakarta Enterprise Beans
复制链接

当您使用 OpenID Connect (OIDC)保护应用程序时，elytron-oidc-client 子系统会自动为您创建一个虚拟安全域。您可以将虚拟安全域中的安全身份（从 OIDC 供应商获取的）传播到应用程序调用的 Jakarta Enterprise Beans。

下表根据您使用的安全域以及应用的部署方式，演示了所需的配置。

Expand

用于保护 Jakarta Enterprise Beans 的安全域 Servlet 和 Jakarta Enterprise Beans 位于同一 WAR 或 EAR 中 Servlet 和 Jakarta Enterprise Beans 位于不同的 WAR 或 EAR 中

用于保护 Jakarta Enterprise Beans 的安全域	Servlet 和 Jakarta Enterprise Beans 位于同一 WAR 或 EAR 中	Servlet 和 Jakarta Enterprise Beans 位于不同的 WAR 或 EAR 中
虚拟安全域	不需要配置。虚拟安全域会自动将安全身份流传输到 Jakarta Enterprise Beans，只要没有为 Jakarta Enterprise Beans 明确指定安全域配置。	配置如下：创建 `virtual-security-domain` 资源。向 Jakarta Enterprise Beans 添加 `@SecurityDomain` 注释，以引用 `virtual-security-domain` 资源的名称。如需更多信息，请参阅使用虚拟安全域保护 Jakarta Enterprise Beans 应用程序。
不同的安全域	要将安全身份从虚拟安全域流传输到另一个安全域，您必须配置以下资源： `virtual-security-domain` ：指定由虚拟安全域建立的安全身份应自动流传输到其他安全域。 `security-domain`: 表示它应该信任您配置的虚拟安全域建立的安全身份。如需更多信息，请参阅将身份从虚拟安全域传播到安全域。

虚拟安全域

不需要配置。

虚拟安全域会自动将安全身份流传输到 Jakarta Enterprise Beans，只要没有为 Jakarta Enterprise Beans 明确指定安全域配置。

配置如下：

创建 virtual-security-domain 资源。
向 Jakarta Enterprise Beans 添加 @SecurityDomain 注释，以引用 virtual-security-domain 资源的名称。
如需更多信息，请参阅使用虚拟安全域保护 Jakarta Enterprise Beans 应用程序。

不同的安全域

要将安全身份从虚拟安全域流传输到另一个安全域，您必须配置以下资源：