[英]Secure Java EE Web Services w/ Kerberos and JAAS
在基於Java的SSO系統上找到了這篇文章,並且想知道它是否完全適用於安全Web服務。
使用安全的Web服務,您需要:
通常,這可以通過一些用於SSL的OASIS兼容安全框架(CXF,WSS4J,XWSS等)來完成。
我對Kerberos,JAAS或GSS一點都不熟悉,但是在我看來,如果可以將它們用於保持客戶端與多個Java EE應用程序之間的安全連接,為什么不能將它們與以下其中一種相切使用:這些框架(例如WSS4J)來提供WSS。
我可以使用Kerberos代替SSL,然后讓WSS4J處理所有WS特定的東西。
這樣,我可以制作可重用的Kerberos組件,這些組件既可以在SSO中使用,又可以用於Web服務中的傳輸層安全性。
我在這里完全擺脫了搖桿嗎?
Eugie,陳述的要求是典型的。 但是細節差異很大。 因此,得出單一方法或解決方案是不切實際的。
需求需要進一步分解和單獨分析。
例如:SSO大致有兩個要求a)身份驗證b)授權。 您既可以使用單個解決方案,也可以使用多個解決方案。 一個eloborate系統可能同時使用多個身份驗證,例如..基於表單,基於證書,基於令牌,遠程身份驗證。
在獲得授權的情況下,我們可以使用LDAP / ActiveDirectory / Domino來實現集中式解決方案,也可以采用上述所有方法來實現分散式解決方案。
這些解決方案均具有局限性,例如,Kerberos不能有效地抵抗密碼猜測攻擊
安全解決方案的選擇取決於許多參數,例如威脅,成本,性能等。
WS-Security項目試圖解決許多這樣的架構問題。 回答您的問題-不,您不能同時使用kerberos進行SSO和傳輸層加密--Kiran.Kumar
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.