当我们朝着 SOA 的方向发展时,出现的一个主题是如何让每个服务对服务请求进行身份验证和授权。
我看到不久前发布了以下问题,并想知道是否还有其他问题。
我目前正在创建一个安全服务,该服务负责处理进入应用程序的用户的身份验证和授权。
为了解决服务要求验证的问题,我正在考虑向该服务添加操作,以便其他服务可以验证将在消息中提供的安全令牌。我也在考虑使用Apache WSS4J来帮助处理令牌。
想法——我们目前还没有 BPEL,所以我还能使用 WSS4J 吗?
问问题
1640 次
2 回答
1
是的——您可以使用 WSS4J——但在 SOA 中,身份验证和授权的概念超出了 wss4j 的范围。您将看到 Apache Axis2 和 CXF 具有围绕 wss4j 开发的包装器,以支持 Web 服务安全标准,如 WS-SecurityPolicy、WS-Trust...
此外,在授权方面,事实上的标准是 XACML。XACML 为您的 SOA 部署带来了基于策略的细粒度授权模型。
WSO2 Identity Server是一个开源产品,支持所有这些功能。
[免责声明:我是 WSO2 的架构师]
于 2011-09-06T04:05:48.813 回答
0
这实际上取决于您打算部署到什么 web 服务框架。
大多数 web 服务框架已经在基本用户名令牌级别具有某种身份验证和授权服务,或者通过后端数据库、ldap 或 xml 配置文件定义提供 saml 支持。Apache CXF、JBoss、Oracle SOA、WebSphere、Tomcat 等。
您应该调查默认功能是否已经为您提供了您想要实现的目标。
于 2011-08-29T02:14:02.203 回答