JBoss 数据库身份传播？

Question

我读过 IBM 的 WebSphere 如何将用户身份传播回后端数据库 (http://www.ibm.com/developerworks/websphere/techjournal/0506_barghouthi/0506_barghouthi.html)。 JBoss有类似的功能吗？理想情况下，我希望能够使用 SPNEGO 登录到我的 JBoss 应用程序，并使用 Kerberos 或其他一些机制将该身份传播回 PostgreSQL 数据库。这可能吗？

Answer 1

您链接到的文章可用于此目的，但有一些注意事项。

让应用服务器使用 Kerberos 作为不同用户重新进行身份验证可能不太现实。根据我对 Kerberos 的了解（诚然有限），它的设计使得最终用户交互需要进行实际的身份验证握手。用户通过 HTTP 与应用程序服务器进行握手——实际上并没有一种机制可以要求他们与数据库本身重新进行身份验证。

不过，如果您的应用服务器以超级用户身份执行与数据库的连接，您可以使用它们的钩子向 PostgreSQL 发出“SET SESSION AUTHORIZATION TO ...”命令。这实际上并不重新进行身份验证，只是暂时更改会话授权角色。

您还可以使用无数“在数据库中存储一些会话信息”解决方案（自定义变量、PL/Perl 等全局变量）之一，并使用它们的钩子来处理它。这实际上就是他们的 Oracle 解决方案似乎要做的事情，它设置客户端标识符，其中 iirc 只是 dbms_util 中某处的全局变量，该变量包含在显示当前会话的视图中（并且 postgresql 9.0 有一个执行相同角色的“应用程序名称”）