RESTful 交叉身份验证

Question

我在 JAX-RS（泽西岛）中实现了 2 个 RESTful 服务：“A”和“B”。它们部署在单独的应用程序服务器上。 “A”和“B”都是我的。

1. 客户端连接并登录“A”服务；
2. 客户端向“A”请求资源，例如：https://blabla1/services/myresources；
3. 要检索资源“myresources”，服务“A”应向服务“B”询问（而不是重定向）另一个资源，例如： https: //blabla2/services/anotherresources。

服务“B”也需要身份验证，这就是问题所在。服务“A”是否有可能向“B”询问客户端身份验证参数，以及它将如何工作？

我想使用 oauth 库是可能的，但我找不到任何示例（接近我的问题）和操作方法。

谢谢

Answer 1

只是总结评论中概述的解决方案：

服务“B”（或其前面的代理）应该只接受带有服务器“A”证书的 HTTPS 请求。 （服务器“A”还可以验证服务器“B”的证书以避免中间人攻击。）

然后用户名可以是纯文本请求参数。

如果您拥有比服务器人员更好的网络人员，或者发现 SSL 令人畏惧，请让网络人员在您的站点之间建立安全隧道（形成 VPN），并使除隧道之外的原始 Internet 上的服务“B”不可用。