1. घर
  2. सवाल और जवाब
  3. जेडटीटी संघीय पहचान

जेडटीटी संघीय पहचान

2013-04-23 9 views
5

का उपयोग कर आरईएसटी प्रमाणीकरण/प्रमाणीकरण मैं आरईएसटी का उपयोग कर सेवाओं का खुलासा करने वाले एक एप्लिकेशन को विकसित करने के लिए देख रहा हूं। इन सेवाओं को ब्राउज़र और गैर-ब्राउज़र क्लाइंट के माध्यम से एक्सेस किया जाएगा। मैं उम्मीद करता हूं कि इस सॉफ़्टवेयर की कई स्थापनाएं होंगी जिनका स्वामित्व और विभिन्न समूहों द्वारा प्रबंधित किया जाता है। मैं उपयोगकर्ताओं को एक सिस्टम से दूसरी सेवाओं पर पहुंचने के लिए सक्षम करना चाहता हूं। वे एक ही पहचान स्टोर साझा नहीं करेंगे। मुझे यह अच्छा लगेगा कि कोई उपयोगकर्ता अपने उदाहरण के लिए प्रमाणित कर सकता है और उसके बाद उनके उदाहरण और दूरस्थ उदाहरणों के अनुरोध करने के लिए टोकन का उपयोग कर सकता है। यह JSON वेब टोकन (जेडब्ल्यूटी) के लिए एक अच्छा उपयोग की तरह लगता है। प्रत्येक सिस्टम को प्रमाण पत्र द्वारा हस्ताक्षरित एक दूसरे टोकन पर भरोसा करने के लिए कॉन्फ़िगर करने की आवश्यकता होगी।जेडटीटी संघीय पहचान

मैंने पढ़ा है कि यह जेडब्ल्यूटी बीयर टोकन के साथ ओएथ का उपयोग करके किया जा सकता है, लेकिन यह आवश्यकतानुसार अधिक ओवरहेड जैसा लगता है। भालू टोकन का उपयोग करने के बजाय एक्सेस टोकन के लिए भालू टोकन का आदान-प्रदान क्यों करें? मैं सवाल करता हूं कि ओएथ एक अच्छा फिट है चाहे यह नियंत्रित नहीं हो रहा है कि यह सिस्टम उपयोगकर्ता के डेटा तक पहुंच सकता है या नहीं, जहां वेब पर कई उदाहरण हैं, लेकिन क्या उपयोगकर्ता के पास सिस्टम के भीतर संग्रहीत डेटा तक पहुंच है या नहीं।

समस्या का अगला भाग यह निर्धारित करना है कि इन जेडब्ल्यूटी टोकन को कैसे बनाया जाए, ऐसा लगता है कि डब्ल्यूएस-ट्रस्ट एसटीएस की तरह कुछ उचित होगा। मैंने ऐसा कोई नहीं देखा है जो सरल और केवल प्रमाणित उपयोगकर्ता हैं और टोकन लौटाते हैं। संभावित रूप से टोकन की टोकन और सत्यापन की समाप्ति को बढ़ाने के लिए समर्थन भी उपयोगी हो सकता है?

अतीत में मैं डब्ल्यूएस-सिक्योरिटी और एसएएमएल एसेशन के साथ एसओएपी का उपयोग करके इस प्रकार की क्षमता को सक्षम करने में सक्षम था। मैं देखना चाहता हूं कि आरईएसटी और जेडब्ल्यूटी टोकन का उपयोग करके इसे पूरा किया जा सकता है या नहीं। वेब पर कई पोस्ट हैं जो आपके स्वयं के सुरक्षा ढांचे को घुमाने के खिलाफ सलाह देते हैं, इसलिए मैं आगे बढ़ने में थोड़ा संकोच कर रहा हूं। मैंने देखा कि माइक्रोसॉफ्ट ने जेडब्ल्यूटी टोकन का उपयोग करके सेवाओं की सुरक्षा की देखभाल करने के लिए हैंडलर जोड़े हैं, इसलिए ऐसा लगता है कि वे इस दृष्टिकोण में कुछ मूल्य देखते हैं।

क्या किसी के पास मानक मानकों में REST सेवाओं के लिए इस तरह के पहचान संघ को पूरा करने के तरीकों पर अंतर्दृष्टि है और सरल रास्ता?

स्रोत

2013-04-23 James

उत्तर

4

हां, यही वह दृष्टिकोण है जो मैं अपने ग्राहकों को अनुशंसा करता हूं। वास्तव में, जेडब्ल्यूटी यह है कि कैसे विंडोज एज़ूर मोबाइल सर्विसेज अपने एंडपॉइंट्स को सुरक्षित करता है। जेडब्ल्यूटी को संभालने के लिए अपेक्षाकृत सरल है (उदाहरण के लिए एसएएमएल टोकन की तुलना में), लेकिन access_tokens (हस्ताक्षर होने की तरह) की तुलना में दिलचस्प गुणों को बनाए रखें।

This doc वेबएपी और हमारे उत्पाद (यदि आप एमएस तकनीकों का उपयोग कर रहे हैं) के साथ इसे कैसे करें, इस पर एक उदाहरण दिखाता है। हालांकि सिद्धांत सामान्य हैं, और आप इस पर ध्यान दिए बिना लागू कर सकते हैं कि आप हमारे एसटीएस का उपयोग करते हैं या नहीं।

स्रोत

2013-04-26 15:36:20

संबंधित मुद्दे

 संबंधित मुद्दे