隨着我們朝着SOA的方向發展,已經出現的一個話題是如何讓每個服務對服務請求進行身份驗證和授權。SOA服務認證/授權
我看到the following question貼了一段回來,並想知道是否還有更多。
我目前正在創建一個安全服務,它有責任處理來到應用程序的用戶的身份驗證和授權。
爲了解決要求驗證的服務問題,我正在考慮將操作添加到此服務中,以便其他服務可以驗證將在消息中提供的安全令牌。我也在尋找使用Apache WSS4J來幫助令牌。
想法 - 我們目前在這一點上還沒有BPEL,所以我仍然可以使用WSS4J?
是的 - 您可以使用WSS4J - 但在SOA中,身份驗證和授權的概念超出了wss4j的範圍。您將看到Apache Axis2和CXF已經圍繞wss4j開發了用於支持Web服務安全標準(例如WS-SecurityPolicy,WS-Trust)的包裝器......
另外 - 當涉及到授權時,事實標準是XACML。 XACML爲您的SOA部署帶來了基於策略的細粒度授權模型。
WSO2 Identity Server是具有所有這些功能支持一個開源產品..
[免責聲明:我是一個建築師在WSO2]
這真的取決於你打算部署到什麼web服務框架。
大多數webservice框架已經在基本用戶名令牌級別具有某種或某些類型的身份驗證和授權服務,或者爲後端數據庫,ldap或xml配置文件定義提供saml支持。 Apache CXF,JBoss,Oracle SOA,WebSphere,Tomcat等。
您應該調查默認功能是否已經爲您提供了所要實現的功能。