Нашел эту статью на < сильные> системы SSO на основе Java, и мне было интересно, применимо ли это вообще к безопасным веб-службам.
С безопасными веб-службами вам необходимо:
- Надежный транспорт
- Аутентификация
- Цифровые вывески
- Зашифрованные полезные данные
Обычно это может быть выполнено с помощью некоторой OASIS-совместимой безопасной инфраструктуры (CXF, WSS4J, XWSS и т. Д.) Через SSL для транспорта.
Я совершенно не знаком с Kerberos, JAAS или GSS, но мне кажется, что если их можно использовать для обеспечения безопасных соединений между клиентом и несколькими приложениями Java EE, почему их нельзя использовать вместе с одним из эти фреймворки (например, WSS4J) для обеспечения WSS.
Вместо SSL я мог бы использовать Kerberos, а затем позволить WSS4J обрабатывать все специфичные для WS вещи.
Таким образом, я мог создавать повторно используемые компоненты Kerberos, которые можно было бы использовать как в SSO, так и для безопасности транспортного уровня в веб-сервисах.
Я здесь совсем не в своем рокере?