[英]Is there a standard for using SAML tokens with RESTful services?
我通過將SAML令牌放在Authorization
標頭中,使用SAML令牌對一組REST-ful服務進行身份驗證。
我找不到任何可以表明有一種標准方法可以做到這一點。 例如,我使用:
Authorization: Bearer <EncryptedAssertion ...
要么:
Authorization: Bearer PEVuY3J5cHRlZEFzc2VydGlvbiAuLi4=
要么:
Authorization: SAML PEVuY3J5cHRlZEFzc2VydGlvbiAuLi4=
或者是其他東西?
請注意,如果證書具有多個名稱組件,則第一個不起作用(因為逗號混淆了標頭解析)。
我使用'Bearer'的事實並沒有說明令牌的格式。
Apache CXF似乎使用第三種變體。
哪一個是標准的? 有標准嗎? 如果沒有,是否有事實上的標准?
HTTP中自定義身份驗證方案的標准在RFC 2617和7235中定義。
Authorization: scheme key="value", ...
我懷疑你的具體案例有一個標准,但我認為這是可以接受的:
Authorization: SAML bearer="PEVuY3J5cHRlZEFzc2VydGlvbiAuLi4="
在對此主題進行了大量研究之后,我找不到任何標准來定義如何在Authorization標頭中使用SAML令牌。
但是,CXF是一個非常着名的Web-Serviec堆棧,它以下列方式支持SAML令牌 :
Authorization: SAML eJydV1m....9fYTCPr=
OAuth2還定義了如何使用SAML令牌進行身份驗證以接收OAuth2訪問令牌,然后可以使用該令牌來調用另一個REST服務( https://tools.ietf.org/html/rfc7522 )
POST /token.oauth2 HTTP/1.1
Host: as.example.com
Content-Type: application/x-www-form-urlencoded
grant_type=urn%3Aietf%3Aparams%3Aoauth%3Agrant-type%3Asaml2-bearer&
assertion=PHNhbWxwOl...[omitted for brevity]...ZT4
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.