gpt4 book ai didi

java - 在企业应用程序 (EAI) 中将用户凭据存储在何处?

转载 作者:塔克拉玛干 更新时间:2023-11-03 03:23:53 26 4
gpt4 key购买 nike

背景/上下文

我们正在开发一个事件通知服务。高层次的应用程序如下所示: high level flow

我们的 developene 范围涉及 widget 和 ENS。

ENS”充当收集用户感兴趣的某些类型事件的中心点。任何想知道这些类型的事件何时发生的用户都可以在 ENS 上注册,它按顺序识别事件并将通知与订阅相匹配。

想要订阅的用户应该是集成应用程序(db,sap系统等)的有效用户

事件的顺序:

enter image description here

现在我的问题是:

存储用户数据库、sap 等凭据的最佳做法是什么。

编辑应该多久对用户进行一次身份验证?应该是每次传递消息时?(正如@duffymo 提到的,如果我使用这种策略,它会影响源系统)

附加信息:ENS 是网络服务。

ENS 轮询 SAP(和其他应用程序),这就是问题变得更加复杂的地方。在 SAP 中有数据级别的授权。因此并非所有用户都被允许查看所有事件/数据。

如果 SAP 已推送数据以及有权查看的用户信息,则完全没有问题。

案例一:调度器由ENS发起

  1. 用户订阅了一个订阅。订阅时,会在 SAP 系统中检查用户的授权。如果可以,那么他将被允许订阅。
  2. 调度程序在预定时间运行。
  3. 调度器识别订阅的用户。
  4. 如果事件发生,调度程序使用存储的用户凭据(在 ENS 中存储)进行 POLL。
  5. 如果有变化通知用户。

缺点:

  • 用户凭据存储在某处外部 - 安全团队可能不会接受它
  • 如果有多个用户则重复点击订阅了同一 block 信息

情况 2:调度程序由 WIDGET 启动。用户信用将仅存储在用户本地计算机中。迪亚德:

  • 如果订阅是每日的,并且如果用户系统/小部件未启动。这用户可能会错过通知那发生在周末。
  • 如果更多,则对服务器的冗余点击不止一个用户订阅了相同的信息。

最佳答案

通常是应用程序获得了数据库、SAP 等的凭据。个人用户会将凭据存储在 LDAP 或数据库中;身份验证和授权将作为应用程序、EAI 服务器或 SiteMinder 等设备的横切关注点进行处理。

传入的请求将被拦截并检查授权 token 。如果 token 未出现,请检查身份验证和授权。如果允许,创建授权 token 并缓存它。

这是网络应用程序的常见场景。对于像您这样的事件通知情况,情况要复杂得多。当用户订阅时,您必须检查授权。如果用户未经授权,您应该立即通知他们,因为您不希望每次发布时都必须检查凭据。用户、订阅的事件和授权凭证之间必须存在关联。

我只看到一个问题。

您可以向未授权用户广播事件,如果他们订阅了一个事件,发现他们已获得授权,收到第一个广播,然后由于某种原因变得未授权。这表明您每次向订阅者广播时都必须检查凭据。这可能会变得繁重并降低您的应用程序的速度。

查看像 SAML 这样的标准,看看它是否可以帮助您。

缓存问题取决于事件之间和授权更改之间的时间比较。如果事件之间的时间比授权更改的时间长,则您必须每次都检查,因为您无法知道自上次事件以来授权是否已被撤销。

关于java - 在企业应用程序 (EAI) 中将用户凭据存储在何处?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4943556/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com