问如何使用Drupal保护Java服务？

EN

我正在创建一个使用Drupal 7内容管理系统的web应用程序。网页大量使用JQuery和AJAX。

AJAX调用击中REST服务，这些服务实际上是使用JAVA实现的。Apache正在运行Drupal 7，并被配置为将所有对REST urls的调用传递给Java服务器(Jboss AS7)。一切都结束了SSL。

我需要授权和验证对REST服务的调用，并从Java应用程序访问当前登录到Drupal的人的用户名或ID。问题是..。怎么..。

由于AJAX调用是对同一个Apache服务器(而不是对单独的服务器等)进行的，所以一切都发生在同一个http会话中，所以我希望这会非常容易。

我想过的事情：

• 配置一个java安全拦截器，该拦截器调用自定义(仅在本地访问) drupal服务，该服务以某种方式读取会话id并返回登录用户名。
• 创建一个“哑”的drupal REST服务，作为所有REST调用的网关，该网关授权/身份验证，然后在传递到Java后端服务之前注入用户名。
• https://lists.wisc.edu/read/messages?id=7777296#7777296的这篇文章让我想知道，我是否可以调用一个Drupal服务(就在每个服务会话开始时)，该服务接受一个sessionID并返回当前用户和他的角色。我可以在我的Java服务中配置它，以便它每隔x秒钟或y次重新执行这个调用，以检查角色更改或注销。

其他人是怎么做到的？这一定是个常见的问题，不是吗？如果不是，您应该做什么来通过AJAX安全地访问经过身份验证的服务？除了Drupal之外，我宁愿不介绍第二个用户控制过程，除非这是不可避免的。干货:)

谢谢-这让我很困惑！