Я написал собственный модуль входа в систему для JBoss, который аутентифицирует/авторизует запросы к веб-службе. Первый вызов службы проходит проверку подлинности. Я могу подключить отладчик к модулю входа и проследить выполнение кода. Однако все последующие вызовы веб-службы полностью пропускают модуль входа. Похоже, что JBoss/jaas повторно использует результаты первого подключения.
Я застрял. Любые предложения, чтобы получить меня над горбом?
Я понял. Я пытался настроить аутентификацию на основе файлов cookie. Судя по всему, JBoss/Jaas кэширует успешные аутентификации на основе имени пользователя и пароля, а файлы cookie игнорируются. Чтобы все заработало, я удалил файл cookie из запроса веб-службы и заменил его именем пользователя и паролем в заголовке аутентификации.
Связана ли аутентификация/авторизация с объектом сеанса? Как вы установили тайм-аут/аннулирование сеанса?
JBOSS, вероятно, каким-то образом кэширует учетные данные. В этом случае вы хотите пропустить модуль входа. Вы должны аннулировать его только в том случае, если вы вышли из системы или тайм-аут сеанса.
Вы тестировали его с двумя отдельными пользователями/браузерами, каждый со своим сеансом?
