Web服务和身份验证&授权困境

时间:2015-07-04 06:47:33

标签: web-services security single-sign-on ws-security

当前设置:

  • App2是一个现有的网络应用程序,旨在使用户能够做到 交易。有登录。全球访问。
  • App1是一个纯粹的信息应用程序,没有登录。全球访问。

建议的更改:

  • App1现在将具有用户登录和一些新功能
  • 其新功能的一部分是拥有一些事务后端 App2

计划

  • 在App2中创建Web服务以公开可以访问的功能 由App1。

困境

  • App2公开的Web服务只能由登录使用 来自App1的用户。

设置

  • App1和App2部署在同一个应用服务器上(很可能会长时间安装)
  • App1和App2拥有来自不同数据库的不同用户集。

问题:

  1. 解决困境的最佳方法是什么?
  2. 只是在App1中复制App2的后端是否可行?
  3. 将两个应用程序作为单一标志也是一个实用的选择吗? (例如,在SSO下,只需在App1到App2中提供直接页面链接。)

    4. 就是这样。谢谢。任何建议将不胜感激。

1 个答案:

答案 0 :(得分:1)

此问题的解决方案是任何token based authentication解决方案的一部分。

用户对App1进行身份验证后,您可以让他们检索令牌以访问App2中的API。必须对此令牌进行签名(以防止篡改)并包含依赖方标识符或受众URI。

您在App2中公开的API会检查令牌是否有效并且是否用于调用它(具有正确的依赖方标识符或受众URI)。

相关问题
最新问题