解決方案

在 Application Server Enterprise Edition 7.1 中，auth-passthrough 外掛程式功能可以在代理 Application Server 實例上配置，以使該實例上部署的所有應用程式都能直接取得遠端用戶端的資訊；猶如代理 Application Server 實例直接收到請求一樣，而非透過執行 service-passthrough 外掛程式的中間 Web 伺服器接收。

在 Application Server 9.1 中，auth-passthrough 功能可以透過將 domain.xml 中 <http-service> 元素的 authPassthroughEnabled 特性設定為 TRUE 來啟用，如下所示：

<property name="authPassthroughEnabled" value="true"/>

對 Application Server Enterprise Edition 7.1 中 auth-passthrough 外掛程式功能的安全考慮也適用於 Application Server 9.1 中的 authPassthroughEnabled 特性。由於 authPassthroughEnabled 允許置換可用於認證的資訊 (如發出請求的 IP 位址，或 SSL 用戶端憑證)，因此，必須僅允許可信任的用戶端或伺服器連線至 authPassthroughEnabled 設定為 TRUE 的 Application Server 9.1 實例。做為預警措施，建議您應僅將公司防火牆後伺服器的 authPassthroughEnabled 設定為 TRUE。可透過網際網路存取的伺服器永遠不能將 authPassthroughEnabled 設定為 TRUE。

請注意，當代理 Web 伺服器已配置了 service-passthrough 外掛程式，並且將請求轉寄至 authPassthroughEnabled 設定為 TRUE 的 Application Server 8.1 Update 2 實例時，代理 Web 伺服器上可能啟用了 SSL 用戶端認證，而在接受代理的 Application Server 8.1 Update 2 實例上卻停用了該認證。在此情況下，代理 Application Server 8.1 Update 2 實例仍將請求作為已透過 SSL 認證的請求進行處理，並將用戶端的 SSL 憑證提供給需要此憑證的所有已部署的應用程式。