REST API Authentifizierung mit SAML

Ich bin kämpfen, um design ein SAML2.0 Authentifizierung für eine REST-API, die ein gateway verwendet. REST wird zwischen meinen backend und meine Anwendung. Ich bin mit der Java-Servlet-filter und Feder.

Sehe ich zwei Möglichkeiten:

  1. Hinzufügen der SAML-Token in den header jeder Zeit.
  2. Authentifizieren einmal mit SAML, dann über eine session oder ähnliche (sichere Konversation) zwischen dem client und dem gateway.

Fall 1: Es ist eine gute Lösung, weil wir immer noch Erholsam, sondern:

  • SAML-Token sind ziemlich groß. Es entstehen problem aufgrund der großen header-Größe.
  • Wiedergabe Token ist nicht der beste Weg für die Sicherheit Sorge.

Fall 2: Es ist nicht mehr staatenlos und ich haben es geschafft, eine Verbindung mit dem client. Da ich ein gateway verwenden, die zugrunde liegenden services können immer noch Erholsam.

Fall 2 sieht für die bessere Wahl, trotz der Tatsache, dass es nicht die restlichen Einschränkungen.

Ist jemand schon zu tun es und geben Sie mir einige Hinweise (für Entwurf oder Ausführung)?

Gibt es einen besseren Weg, es zu tun mit SAML?

Jede Hilfe oder Ratschläge sind willkommen.

Die zweite Methode anwenden. Viele service-Provider ablehnen wiedergegeben Token sowieso. Ist dies, um Benutzer zu authentifizieren oder Ihre client-software?
Es ist, um Benutzer zu authentifizieren
Sie können auch einen Blick über OAuth2 für die gleichen, wenn Sie offen zu haben SAML-Alternative.
Es gibt keine solche Sache wie ein SAML-token. Haben Sie bedeuten, setzen Sie die SAML-Assertion in einem Authorization-header? Da eine SAML-assertion kann nur konsumiert werden, einmal, da hat es eine eindeutige ID (replay-Angriffe zu verhindern). Auch, jede SAML-assertion in der Regel nur ein kleines Zeitfenster, in dem es gültig ist (in der Regel nur wenige Minuten).

InformationsquelleAutor Nereis | 2013-10-18

  1. 11

    Ist es immer noch Entwurf, aber: die OAuth2 SAML-bearer-Profil kann eine mögliche Lösung.
    http://tools.ietf.org/html/draft-ietf-oauth-saml2-bearer-17

    Verwenden SAML2 zu authentifizieren, um eine OAuth2 provider, dann rufen Sie Ihren service mit der OAuth2-token.

    Oh, ich würde nicht Herde.
    Es sieht aus, um den Weg zu gehen. Einige große Namen des web, die Verwendung von OAuth mit JSON web token (JWT) zur Sicherung des REST-service. Lesen Sie auch zu diesem Entwurf: http://tools.ietf.org/html/draft-ietf-oauth-json-web-token-05#page-21 und Security Token service (STS) keyworld
    Also, wie ich verwendet, SAML2 Authentifizierung eines OAuth2 provider?
    Verwendung eines STS zu tun, die übersetzung. Es wird Essen eine OAuth2-token und generiert ein SAML2-token.

    InformationsquelleAutor Zelgada

Schreibe einen Kommentar