webseal 单点登录的一个问题

在刚接触ibm的webseal 时，不理解为什么一定要把集成的系统改成http://webseal/junctionpoit这样的访问形式。因为某个系统的开发人员可以认为只要经过认证，那么后端的具体操作就应该由具体系统自己处理了，同时把很多系统集成到webseal上无疑会给他带来压力。

一次在公交车上煎熬时（在首都的特定时间乘公交的确是考验），我回忆起逆向代理的概念，有了一些答案。

1 webseal 之所以是逆向代理，就是说通过它，可以允许外部的用户访问一个企业或组织的内部系统，那么这个内部系统一般不提供公网访问的域名或ip，所以集成以后不能交给它自己处理！只能通过http://webseal/junc-point的方式访问内部资源，当然如果使用人员从来都是从内网访问这个系统的话，或者这个系统有自己独立的外网域名，也可以直接跳转到对方进行处理。

2 如果集成进来，由于各系统内部编码的不同，必须在采取各种方法对集成的页面进行处理，测试，包括使用jmt 文件等等，或者采用虚拟主机的方式。如果不集成进来，主要考虑系统是否有外部访问的要求，以及注销和session的问题。一般系统的session 大于等于webseal的时间，同时要在webseal 注销的时候，调用各业务系统的注销功能，实现各业务系统的注销（此处一般认为清除cookies 即可完成注销，但实际上某些并没有集成在junc-point下的应用还必须调用自己的注销，有待进一步研究）。