2013-02-23 99 views
2

我試圖在ACS的明文和簽名令牌請求方法之間進行選擇(http://msdn.microsoft.com/en-us/library/ee706734.aspx)。ACS令牌請求明文與簽名

我想出了區分這兩種方法的唯一的事情就是簽名的方法,當有人試圖解密,以獲得我的密碼HTTPS流量提供了一個額外的緩解對竊聽者。在簽名的情況下會更加困難,因爲除了解密HTTPS之外,它還需要中斷簽名(以便學習簽名密鑰)。

我說HTTPS被認爲足夠強大,不應該要求任何額外的東西來確保沒有人可以閱讀我的消息嗎?

對於純文本和簽名之間的ACS選擇令牌請求方法,我的參數可能是什麼?

+0

您正在查看不再支持的ACS 1.0文檔。請注意頂部的免責聲明:「此內容已過時。有關Windows Azure訪問控制服務(ACS)的信息,請參閱訪問控制服務2.0。」 – 2013-02-26 00:06:02

回答

2

純文本和簽名請求都受HTTPS傳輸保護。 ACS頒發的令牌將符合爲信賴方(範圍)配置的Web令牌格式,並且已頒發的ACS令牌中的聲明將包含由轉換規則引擎生成的聲明的結果。

明文請求涉及發送服務標識的用戶名和密碼,ACS,以表明您希望收到一個訪問令牌的依賴方的範圍。在這種情況下,調用者只需要知道服務標識憑證就可以接收令牌。在明文請求中,唯一可用於索賠轉換引擎的索賠是名稱標識符索賠。

一個在另一方面簽名的請求是當服務消費者希望提供一套更豐富的索賠權利要求改造的探討引擎。服務使用者通過創建使用指定的斷言格式(通常是SWT或JWT)進行編碼的斷言並使用對稱或非對稱簽名密鑰對斷言進行數字簽名來斷言一組索賠。

SWT僅支持使用HMAC SHA-256算法對稱簽名,而JWT支持對稱和非對稱簽名算法。在這種情況下,服務使用者需要擁有用於對斷言進行數字簽名的簽名密鑰。 ACS將驗證斷言的數字簽名以確保調用者可信(他們擁有簽名密鑰)並且斷言未被篡改。索賠轉換引擎將應用依賴方規則來生成訪問令牌。

當您不需要提交給索賠轉換引擎(名稱標識符足夠)或服務使用者不支持加密簽名斷言的一組豐富的索賠時,使用明文請求。

當你的聲明轉換規則要求多個聲明,以便進行輸出要求計算,或者當你的服務消費者已經有一個SAML斷言,它希望使用使用簽名的請求。

OAuth WRAP如果你想OAUTH WRAP協議的更完整的描述。