随着我们朝着SOA的方向发展,已经出现的一个话题是如何让每个服务对服务请求进行身份验证和授权。SOA服务认证/授权
我看到the following question贴了一段回来,并想知道是否还有更多。
我目前正在创建一个安全服务,它有责任处理来到应用程序的用户的身份验证和授权。
为了解决要求验证的服务问题,我正在考虑将操作添加到此服务中,以便其他服务可以验证将在消息中提供的安全令牌。我也在寻找使用Apache WSS4J来帮助令牌。
想法 - 我们目前在这一点上还没有BPEL,所以我仍然可以使用WSS4J?
是的 - 您可以使用WSS4J - 但在SOA中,身份验证和授权的概念超出了wss4j的范围。您将看到Apache Axis2和CXF已经围绕wss4j开发了用于支持Web服务安全标准(例如WS-SecurityPolicy,WS-Trust)的包装器......
另外 - 当涉及到授权时,事实标准是XACML。 XACML为您的SOA部署带来了基于策略的细粒度授权模型。
WSO2 Identity Server是具有所有这些功能支持一个开源产品..
[免责声明:我是一个建筑师在WSO2]
这真的取决于你打算部署到什么web服务框架。
大多数webservice框架已经在基本用户名令牌级别具有某种或某些类型的身份验证和授权服务,或者为后端数据库,ldap或xml配置文件定义提供saml支持。 Apache CXF,JBoss,Oracle SOA,WebSphere,Tomcat等。
您应该调查默认功能是否已经为您提供了所要实现的功能。