<div dir="ltr">Hola! buenas tardes, yo estoy en algo similar (mas o menos)... tengo que hacer unos WebService RESTful en Java, y estaba analizando un par de opciones: OAuth, OAuth2, OpenID o la autenticación que provee java (mediante anotaciones, el archivo web.xml, SecurityContext). Queria preguntarte Leo si tenes experiencia en el tema, o sabes que conviene mas, y capaz la opinión le sirve a Mario también!<div><br></div><div>Muchas gracias! Saludos</div></div><div class="gmail_extra"><br><div class="gmail_quote">El 7 de noviembre de 2014, 11:46, Leonardo Tadei - Pegasus Tech Supply <span dir="ltr"><<a href="mailto:leonardot@pegasusnet.com.ar" target="_blank">leonardot@pegasusnet.com.ar</a>></span> escribió:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hola Mario,<br>
<br>
El vie, 07-11-2014 a las 10:32 -0300, Mario Gomez Cassou escribió:<br>
<span class="">> Hola gentes<br>
><br>
> Preciso que los usuarios logueados en el sitio de la empresa donde<br>
> trabajo puedan entrar en forma transparente a una aplicación en mi<br>
> sitio<br>
<br>
</span>        Lo que querés hacer es un ataque XSS (Cross Site Scripting) que los<br>
navegadores te van a impedir por todos los medios a su alcance...<br>
<span class=""><br>
>  y no quiero que de ninguna manera un servidor tenga acceso al otro.<br>
<br>
</span>        Si no provees un mecanismo para que un servidor pueda sincronizar los<br>
datos de los usuarios, nunca vas a poder validar autónomamente a los<br>
usuarios de A en B<br>
<span class=""><br>
> Se me ocurrió que al saltar del servidor A al B este genere una sesión<br>
> con una variable V, redireccione a A mandándole V y que cuando la<br>
> vuelva a recibir de A dé por buena la sesión y corra la aplicación<br>
> deseada<br>
<br>
</span>        Si B acepta cómo usuarios válidos solo a los que tengan una sesión,<br>
estás violando los principios de AAA, y en general esto hará muy<br>
vulnerable a B.<br>
<span class=""><br>
> Tiene que haber algo mas sencillo no?<br>
<br>
</span>        Podrías usar para la autentificación algún mecanismo externo como<br>
OpenID (o en el peor de los casos algún login vía Google o Twitter)<br>
        De esta forma los usuarios válidos son independientes de cada<br>
aplicación (y dejan de ser tus usuarios, dicho sea de paso).<br>
<br>
> Saludos<br>
<br>
        =mente!<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
Leonardo Tadei<br>
<a href="mailto:leonardot@pegasusnet.com.ar">leonardot@pegasusnet.com.ar</a><br>
Web: <a href="http://leonardo.tadei.com.ar" target="_blank">http://leonardo.tadei.com.ar</a><br>
Firma pública: <a href="http://www.pegasusnet.com.ar/LeonardoTadei-public.key" target="_blank">http://www.pegasusnet.com.ar/LeonardoTadei-public.key</a><br>
<br>
_______________________________________________<br>
Lista de correo: Php-avanzado<br>
Mensajes a la lista: <a href="mailto:Php-avanzado@pato2.fi.mdp.edu.ar">Php-avanzado@pato2.fi.mdp.edu.ar</a><br>
Administración Web: <a href="http://www3.fi.mdp.edu.ar/cgi-bin/mailman/listinfo/php-avanzado" target="_blank">http://www3.fi.mdp.edu.ar/cgi-bin/mailman/listinfo/php-avanzado</a><br>
Desubscripción: <a href="http://php-avanzado-request@pato2.fi.mdp.edu.ar?subject=unsubscribe" target="_blank">php-avanzado-request@pato2.fi.mdp.edu.ar?subject=unsubscribe</a><br>
</font></span></blockquote></div><br></div>