问Java客户机-服务器体系结构中的安全性

EN

我试图为以下架构实现安全性：

• Web层:使用GWT的Tomcat 7应用服务器。
• 后端: JBoss 7.1应用服务器使用EJB和JPA来持久化数据。web层远程使用EJB。

我正在考虑使用JBoss安全性，这涉及：

• 通过登录-config.xml在JBoss中创建安全域
• 安全域使用DatabaseServerLoginModule从MySQL db检索用户名/密码和角色方面的数据。
• 授权:通过使用@RolesAllowed注释我的EJB方法来实现基于EJB的安全性。

我以前在一个JBoss中实现了这一点，并在JBoss的Tomcat中配置了web.xml。然后jboss-web.xml将我的web应用程序绑定到我在JBoss中创建的安全域。

我现在关心的是，这一切是如何使用两个单独的服务器来工作的:一个Tomcat容器，它对后端JBoss进行远程调用。我的问题：

• 如何使Tomcat知道在远程JBoss中定义的安全域(如果可能的话)，以便它将查找DB中的凭据的任务委托给JBoss？
• 如果我的GWT组件调用远程EJB，我如何将安全凭据从Tomcat传播到远程JBoss (主体、密码)，而不必在每个调用中指定这些证书？
• 这是否可行呢？在这种情况下，还有其他的选择可以让我的生活更轻松吗？