找到this关于的文章基于Java的SSO系统,并且想知道它是否以任何方式适用于安全Web服务。具有Kerberos和JAAS的安全Java EE Web服务
有了安全的Web服务,您需要:
- 安全传输
- 认证
- 数字标牌
- 加密的有效载荷
通常,这可以与一些OASIS-完成通过SSL传输的兼容安全框架(CXF,WSS4J,XWSS等)。
我对Kerberos,JAAS或GSS并不熟悉,但在我看来,如果它们可以用来保持客户端和多个Java EE应用程序之间的安全连接,为什么它们不能用于与其中一个框架(如WSS4J)相切以提供WSS。
除了SSL,我可以使用Kerberos,然后让WSS4J处理所有WS特定的东西。
通过这种方式,我可以制作可重用的Kerberos组件,这些组件可用于SSO和Web服务中的传输层安全。
我完全不在我的摇杆吗?