0

我正在使用 ASP.NET WebAPI 开发 API。身份验证由第 3 方完成,我们会收到一个 SAML 令牌以进行身份​​验证(我们提供了要检查的证书)。

但是,我不想继续验证 SAML 令牌,因为它非常大,所以我想发出一个简单的 Web 令牌或类似的东西。我在网上看到的所有示例都有第三方,或者某种身份服务器发出 SWT。

有什么理由我不能自己发行令牌吗?我正在考虑使用 wif.swt,或者可能只是自己滚动。为了保证令牌的安全,我需要考虑什么?

4

1 回答 1

3

这就是我解释你的提议的方式......你希望第 3 方向你发送一个 SAML 令牌,一旦验证,你就想发出一个较小的 SWT 作为会话令牌,第 3 方随后将使用它来与你的服务交谈(大概直到某种到期日)?

我的第一点是先看一下 JSON Web Token JWT,它的大小应该比 SWT 更轻,最重要的是规范明确解释了应该如何保护令牌(HMAC 256 签名或加密)。

有许多库可以让您使用这些库:

如果顶部提到的方法是您所追求的,那么这里有一个使用Thinktecture 库获取 SAML 令牌并返回 JWT 会话的示例。

于 2013-02-23T22:49:37.220 回答