当我们朝着SOA的方向发展时,一个主题就是如何让每个服务进行身份验证并授权服务请求。
我看到the following question发布了一段时间,并想知道是否还有其他内容。
我目前正在创建一个安全服务,该服务负责处理进入应用程序的用户的身份验证和授权。
为了解决要求验证的服务问题,我正在考虑向此服务添加操作,以便其他服务可以验证将在消息中提供的安全令牌。我也在考虑使用Apache WSS4J来帮助处理令牌。
思考 - 我们目前还没有将BPEL视为目标,所以我仍然可以使用WSS4J吗?
答案 0 :(得分:1)
是的 - 您可以使用WSS4J - 但在SOA中,身份验证和授权的概念超出了wss4j的范围。您将看到Apache Axis2和CXF具有围绕wss4j开发的包装器,以支持Web服务安全标准,如WS-SecurityPolicy,WS-Trust ......
此外 - 在授权方面,事实上的标准是XACML。 XACML为您的SOA部署带来了基于策略的细粒度授权模型。
WSO2 Identity Server是一个开源产品,支持所有这些功能。
[免责声明:我是WSO2的建筑师]
答案 1 :(得分:0)
这实际上取决于您打算部署到哪个Web服务框架。
大多数Web服务框架已经在基本用户名令级别拥有某种或其他类型的身份验证和授权服务,或者为后端数据库,ldap或xml配置文件定义提供saml支持。 Apache CXF,JBoss,Oracle SOA,WebSphere,Tomcat等
您应该调查默认功能是否已经为您提供了您想要实现的目标。