是否可以通过 Internet 对 Web 服务使用代理 Kerberos 身份验证?我正在研究已经具有 Active Directory 的环境的 Web 服务安全性。由于现有的架构,Web 服务会很繁琐,我无法控制这个架构。执行一个业务流程最多可能需要 6 个 Web 服务调用。
存在对多次身份验证以及这将产生的开销的担忧。从我对代理 kerberos 身份验证的初步阅读来看,一旦提供了用户凭据,就会返回一个 Kerberos 安全令牌,并且每个 Web 服务调用都不需要身份验证。
我正在设想一个系统,其中用户凭据通过 Web 服务调用传递到 Active Directory,并返回 Kerberos 令牌。然后,此令牌将用于所有后续 Web 服务调用。
这是可能的还是我正在切线?如果我正在切线前进,是否有首选方法?我已阅读完 Microsoft Web 服务安全性:WSE 3.0 的场景、模式和实施指南,但仍有点不清楚。