Каков правильный способ аутентификации тяжелого клиента Java с помощью защищенного сервлета OpenAM?

Существует несколько способов аутентификации клиента:

• используйте REST API для аутентификации клиента (/identity/authenticate или /json/authenticate)
• с помощью API ClientSDK AuthContext
• отправка POST-запросов на /UI/Login (не обязательно лучший способ..)

После получения токена единственное, в чем вы должны убедиться, это в том, что вы отправляете файл cookie сеанса на защищенные страницы. Если вы получаете самоотправляющуюся форму для JAAS, это означает, что вы используете агент в режиме J2EE_POLICY или ALL и включена декларативная безопасность Java EE. Возможные решения для этой проблемной области:

• измените клиент, чтобы он справился с содержимым входа JAAS FORM (т.е. захватил входные значения и выполнил POST вручную), после этого, возможно, вам также придется отправлять JSESSIONID со всеми вашими запросами.
• рассмотрите возможность удаления защиты для ваших сервлетов в web.xml, таким образом, контейнер не будет пытаться отобразить форму входа JAAS, но тогда это также будет означать, что у вас также не будет причудливой интеграции JAAS (isUserInRole/getRemoteUser/@RolesAllowed/ так далее)
• переместите свой сервлет в отдельное приложение, которое можно защитить в другом режиме фильтрации агента (URL_POLICY/SSO_ONLY), он все равно будет защищен, но опять же без интеграции JAAS.

По сути, я не могу придумать простой способ использования интеграции JAAS с использованием тяжелого клиента без входа в систему на основе формы. В какой-то момент мне удалось реализовать клиент приложения Java EE, который аутентифицировался в контейнере ( агента) с использованием программного входа в систему, и это сработало, но я не думаю, что ваш тяжелый клиент на самом деле является клиентом приложения Java EE.