背景/上下文
我们正在开发一个事件通知服务。高层次的应用程序如下所示:
我们的 developene 范围涉及 widget 和 ENS。
“ENS”充当收集用户感兴趣的某些类型事件的中心点。 任何想知道这些类型的事件何时发生的用户都可以在 ENS 上注册, 它按顺序识别事件并将通知与订阅相匹配。
想要订阅的用户应该是集成应用程序(db,sap系统等)的有效用户
事件的顺序:
现在我的问题是:
存储用户数据库、sap 等凭据的最佳做法是什么。
编辑 应该多久对用户进行一次身份验证?应该是每次传递消息时?(正如@duffymo 提到的,如果我使用这种策略,它会影响源系统)
附加信息:ENS 是网络服务。
ENS 轮询 SAP(和其他应用程序),这就是问题变得更加复杂的地方。 在 SAP 中有数据级别的授权。因此并非所有用户都被允许查看所有事件/数据。
如果 SAP 已推送数据以及有权查看的用户信息,则完全没有问题。
案例一:调度器由ENS发起
- 用户订阅了一个订阅。订阅时,会在 SAP 系统中检查用户的授权。如果可以,那么他将被允许订阅。
- 调度程序在预定时间运行。
- 调度器识别订阅的用户。
- 如果事件发生,调度程序使用存储的用户凭据(在 ENS 中存储)进行 POLL。
- 如果有变化通知用户。
缺点:
- 用户凭据存储在某处 外部 - 安全团队可能不会 接受它
- 如果有多个用户则重复点击 订阅了同一 block 信息
情况 2:调度程序由 WIDGET 启动。用户信用将仅存储在用户本地计算机中。 迪亚德:
- 如果订阅是每日的,并且如果 用户系统/小部件未启动。这 用户可能会错过通知 那发生在周末。
- 如果更多,则对服务器的冗余点击 不止一个用户订阅了 相同的信息。
最佳答案
通常是应用程序获得了数据库、SAP 等的凭据。个人用户会将凭据存储在 LDAP 或数据库中;身份验证和授权将作为应用程序、EAI 服务器或 SiteMinder 等设备的横切关注点进行处理。
传入的请求将被拦截并检查授权 token 。如果 token 未出现,请检查身份验证和授权。如果允许,创建授权 token 并缓存它。
这是网络应用程序的常见场景。对于像您这样的事件通知情况,情况要复杂得多。当用户订阅时,您必须检查授权。如果用户未经授权,您应该立即通知他们,因为您不希望每次发布时都必须检查凭据。用户、订阅的事件和授权凭证之间必须存在关联。
我只看到一个问题。
您可以向未授权用户广播事件,如果他们订阅了一个事件,发现他们已获得授权,收到第一个广播,然后由于某种原因变得未授权。这表明您每次向订阅者广播时都必须检查凭据。这可能会变得繁重并降低您的应用程序的速度。
查看像 SAML 这样的标准,看看它是否可以帮助您。
缓存问题取决于事件之间和授权更改之间的时间比较。如果事件之间的时间比授权更改的时间长,则您必须每次都检查,因为您无法知道自上次事件以来授权是否已被撤销。
关于java - 在企业应用程序 (EAI) 中将用户凭据存储在何处?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4943556/