我正在努力爲使用網關的REST API設計SAML2.0身份驗證。 REST用在我的後端和我的應用程序之間。我正在使用Java Servlet過濾器和Spring。使用SAML進行REST API身份驗證
我看到兩種可能性:
添加SAML令牌到頭部各一次。
使用SAML驗證一次,然後使用客戶端和網關之間的會話或類似(安全對話)。
案例1:這是一個很好的解決方案,因爲我們仍然RESTful的,但:
- SAML令牌是相當大的。由於標題大,可能會產生問題。
- 回放令牌不是安全問題的最佳方式。
案例2:它不再是無狀態的,我必須管理與客戶端的鏈接。由於我使用網關,底層服務仍然可以是RESTful。
案例2尋找更好的選擇,儘管它不遵循其餘約束。
有人已經這樣做,並給我一些指針(設計或實現)?
有沒有比SAML更好的方法?
歡迎任何幫助或建議。
使用第二種方法。無論如何,許多服務提供商都會拒絕重放的令牌。這是爲了驗證用戶或您的客戶端軟件嗎? – tom
這是對用戶進行身份驗證 – Nereis
如果您打算讓SAML交替使用,您也可以使用OAuth2來查看。 –