[JAVA] Webservice + web aplikace

[Lopan]

Resim zapeklity problem.
Mam aplikaci postavenou na Java Server Faces (JSF). Nyni ji potrebuji rozsirit tak, ze pridam webovou sluzbu, ktera bude slouzit jako vstupni brana do aplikace z jine stranky.
Sluzba dostane informace o vstupujicim uzivateli (ID, jmeno, prijmeni a dalsi informace). Jakmile je dostane, umozni uzivateli vstoupit do aplikace. Tyto informace potrebuji mi zachovane po celou dobu co je uzivatel v aplikaci.

Ted jak na to?
Nevim, jak efektivne vyresit tu autentizaci. Napada me zatim toto reseni:

Sluzba dostane data, ktera ulozi do singletonu, ve ktere bude mapa s klicem ID a hodnotami bude objekt s informacemi uzivatele. Jako ID by slouzilo sessionID. To by bylo unikatni, protoze by se pristupovalo pouze z jedne stranky.
Nasledne uzivatel vstoupi do aplikace, servletovy filter se podiva do mapy a kdyz najde ID, tak si nacte zaslane hodnoty, kdyz ne, tak zakaze pristup.
ID by bylo zaslane jako get parametr, to by mela na starost vstupni stranka.
Obavam se ale memory leaku, tu mapu budu muset totiz sem tam vycistit. Napada me cisteni pri vybrani zaslanych hodnot a pak jeste i podle datumu, zaznamy starsi napr. 10 minut budou smazany.

Je toto reseni funkcni?

[mraky]

A nechces vyuzit JAAS? Pomoci Login modulu si overis uzivatele a dostanes si jeho roli do security contextu, kterou pak vyuzijes ve zbytku webove vrstvy i v business logice (EJB).

[Lopan]

O JAAS jsem jen jednou zavadil, tak asi budu mit mozna trivialni dotazy...

Stale musim pocitat s tou webovou sluzbou, uzivatel se me nebude hlasit pres zadny formular. Mohu tedy provest tedy provest tu autentizaci na pozadi?
Ten security context ma jaky scope? Protoze nejdrive me do aplikace pristoupi webova sluzba a pak teprve uzivatel s vlastni session a potrebuji to nejak spolu provazat.
Je mozne pak ten security context vyuzivat i nadale v aplikaci bez nutnosti menit kaskadovite API?
Mel jsem v planu totiz zaslane informace nasledne ulozit do uzivatelovi session a nacitat je v aplikace na ruznych mistech za pomoci JSF, ktere maji request ulozeny v ThreadLocal, tudiz mam session dostupnou kdekoliv.

Pod JSF nebezi zadny dalsi framework (viz. EJB), takze si musim vystacit s timto.

Diky za info.

[mraky]

Ono zalezi jak si to naprogramujes. JAAS je kopa interfacu. Muzes uzivatele prihlasit dokonce i bez zeptani se na jeho login a security context se ti samozrejme bude propagovat v ramci cele aplikace.

Doporucuji si o tom neco precist a pak se rozhodnout jestli to neni kanon na vrabce.

Jinak obecne bych do session ukladal co nejmene informaci, nejlepe pouze ID uzivatele. Vse ostatni se da obvykle dotahnout. Tzn. navrhovat aplikaci maximalne bezstavove. S pameti si muzes dovolit plytvat pouze u malych aplikaci.

[Lopan]

Nakonec to vyresim asi jednoduse tak, ze webova sluzba bude na druhe strane.
Kdyz bude do me aplikace pristupovat uzivatel, tak s nejakym ID urcenym druhou stranou. Ja to ID v servlet filtru zaslu zpet na web. sluzbu a podle uspesnosti dojde nebo nedojde k autentizaci. Podstatne jednodussi reseni.

JAAS je asi moc velky kanon, jednou jsem si s nim hral a udelat jednoduchy login me stalo docela dost prace . Ja totiz jedine co potrebuju vedet, je jmeno uzivatele a jedna privatni informace. To me zasle web. sluzba.

Posledni vec. Asi me unika neco moc duleziteho. Ale kde jinde nez v session si muzu ulozit informace o uzivateli a dalsi stavove veci (klasicky treba nakupni kosik )? Nemam totiz pod tou aplikaci nic jineho (jako treba EJB, pak bych mohl pouzit bean pool).

[mraky]

ID uzivatele budes muset mit v session, nebo si ho predavat jako request parametr. Zbytek muzes mit ulozeny kdekoliv.