Verteilte Systeme und der Einsatz von webbasierten APIs auf vielen unterschiedlichen Devices machen den Einsatz eines SSO-Systems auf Basis von OAuth 2.0, OpenID Connect und JSON Web Token (JWT) unabdingbar. Jedoch macht es einem der Java-Standard in Sachen Security nicht immer einfach, diese (recht neuen) Technologien zu verwenden und zu integrieren. In Cloud-Umgebungen mit API-Gateways muss zudem Rücksicht auf die teils eingeschränkten Möglichkeiten der Anbieter genommen werden.
Ich stelle unterschiedliche Möglichkeiten und Lösungen vor, wie man APIs und Anwendungen unterschiedlicher Art in der Cloud und On-Premise absichern kann und dennoch weiß, welcher User gerade mit welchen Rollen die Operation durchführen möchte, selbst wenn diese im Backend nur indirekt aufgerufen wird.