具有Kerberos和JAAS的安全Java EE Web服务

Question

找到this关于的文章基于Java的SSO系统，并且想知道它是否以任何方式适用于安全Web服务。

有了安全的Web服务，您需要：

1. 安全传输
2. 认证
3. 数字标牌
4. 加密的有效载荷

通常，这可以与一些OASIS-完成通过SSL传输的兼容安全框架（CXF，WSS4J，XWSS等）。

我对Kerberos，JAAS或GSS并不熟悉，但在我看来，如果它们可以用来保持客户端和多个Java EE应用程序之间的安全连接，为什么它们不能用于与其中一个框架（如WSS4J）相切以提供WSS。

除了SSL，我可以使用Kerberos，然后让WSS4J处理所有WS特定的东西。

通过这种方式，我可以制作可重用的Kerberos组件，这些组件可用于SSO和Web服务中的传输层安全。

我完全不在我的摇杆吗？

Answer 1

Eugie， 所述要求是典型的。但细节差异很大。因此，以单一方法或解决方案作为结论是不切实际的。

需求需要进一步分解和分析分析。

例如：SSO广义上有两个要求a）认证b）授权。 您可以为每种解决方案使用单一解决方案或使用多种解决方案。一个eloborate系统可以同时使用多个身份验证，例如基于表单的，基于证书的，基于令牌的远程身份验证。

在授权的情况下，我们可以使用LDAP/ActiveDirectory/Domino 或分散的以上所有协调的集中式解决方案。

这些解决方案具有局限性，例如，Kerberos是不反对的密码猜测攻击

安全解决方案的选择取决于许多参数，如 persived威胁，成本prrformace等有效..

WS-Security项目试图解决许多这样的架构问题。 回答你的问题 - 不，你不能使用Kerberos进行SSO和传输层加密 --Kiran.Kumar