Witam,
Rozwijam aplikacje, w Java EE 7 na Glassfish 4. Do zabezpieczenia uzywam generalnie bazy danych (JDBC realm) w Spring Security 3.1. Wiekszosc logiki biznesowej siedzi w EJB.
Chce dolaczyc webservice REST, aby klient mobilny mogl wygodnie z tego korzystac. Wiem, ze webservices moga byc umieszczane w dwoch miejscach:
a) EJB
b) aplikacji webowej (war)
Mam wstepny pomysl, aby uwierzytelnianie rozwiazac o OAuth2 (tokeny):
http://projects.spring.io/spring-security-oauth/
Zastanawiam sie czy warto (czy mozliwe i rozsadne jest?) zbudowanie oddzielnego modulu EJB do tego celu. Sam webservice REST bez springa jest trywialny i nie ma problemu, aby siedzial w EJB. Jak wiadomo, jest to duzo potecjalnych zaleznosci jakie trzeba dociagnac (co w sumie nie musi stanowic problemu: mozna od razu umiejscic je na serwerze i ustawic scope w mavenie jako "provided").
Rownie dobrze moge rozbudowac istniejaca aplikacje internetowa, gdzie mam juz zaladowanego Springa. To podejscie wydaje mi sie prostsze, ale mniej eleganckie.
Pytanie:
Jakie sa najwieksze wady i zalety umieszczenia webservicu uwierzytelnianiego z OAuth2:
a) w module EJB
b) w istniejacej juz aplikacji internetowej, do ktorej uzywa sie normalnego uwierzytelniania (prosty formularz logowania, JDBC realm spring security)