के साथ आरईएसटी एपीआई प्रमाणीकरण मैं गेटवे का उपयोग कर एक आरईएसटी एपीआई के लिए SAML2.0 प्रमाणीकरण तैयार करने के लिए संघर्ष कर रहा हूं। आरईएसटी का उपयोग मेरे बैकएंड और मेरे आवेदन के बीच किया जाता है। मैं जावा सर्वलेट फिल्टर और वसंत का उपयोग कर रहा हूँ।एसएएमएल
हैडर में हर बार SAML टोकन जोड़ना:
मैं दो संभावनाएं देखते हैं।
SAML के साथ एक बार प्रमाणित करें, फिर क्लाइंट और गेटवे के बीच एक सत्र या समान (सुरक्षित बातचीत) का उपयोग करें।
केस 1: यह एक अच्छा समाधान है, क्योंकि हम अभी भी RESTful हैं, लेकिन:
- SAML टोकन काफी बड़े हैं। बड़े हेडर आकार के कारण यह समस्या उत्पन्न हो सकती है।
- टोकन को फिर से चलाने से सुरक्षा चिंता का सबसे अच्छा तरीका नहीं है।
केस 2: यह कोई राज्यविहीन है और मैं ग्राहक के साथ एक लिंक प्रबंधित करने के लिए है। चूंकि मैं गेटवे का उपयोग करता हूं, अंतर्निहित सेवाएं अभी भी रीस्टफुल हो सकती हैं।
केस 2 इस तथ्य के बावजूद बेहतर विकल्प की तलाश में है कि यह शेष बाधाओं का पालन नहीं करता है।
क्या कोई इसे पहले से ही कर चुका है और मुझे कुछ पॉइंटर्स (डिजाइन या कार्यान्वयन के लिए) दे रहा है?
क्या SAML के साथ ऐसा करने का कोई बेहतर तरीका है?
कोई भी मदद या सलाह स्वागत है।
दूसरे दृष्टिकोण का उपयोग करें। कई सेवा प्रदाता वैसे भी replayed टोकन को अस्वीकार कर देंगे। क्या यह उपयोगकर्ताओं या आपके क्लाइंट सॉफ़्टवेयर को प्रमाणीकृत करने के लिए है? – tom
यह उपयोगकर्ताओं को – Nereis
प्रमाणीकृत करना है यदि आप SAML वैकल्पिक होने के लिए खुले हैं तो आप OAuth2 का उपयोग करके भी एक नज़र देख सकते हैं। –