在HTTP上有基于索赔的安全标准吗?

StackOverflow https://stackoverflow.com/questions/4488458

我一直在研究联合安全性和基于索赔的身份验证/授权,并且非常喜欢我所看到的。

我也是Restful服务的忠实拥护者,除非有必要,否则宁愿避免使用肥皂和WS*规格。

是否有根据基本HTTP处理基于索赔的身份验证的标准?

有帮助吗?

解决方案

OpenID. 。这 属性交换 规范允许传输主题的任意属性。它仅使用HTTP,并与任何浏览器一起使用。以类似的方式 Oauth 允许用户将访问权限委派给选定的服务。 OAuth2 进一步扩展了用例。

其他提示

SAML. 。这是绿洲标准,这是谈论的演示 SAML基于索赔的安全性.

你在这里 查找开源实现 让你开始。

超过http: :我只对此主题进行了有限的研究,但请查看 SAML 1.1配置文件

我知道您对与CBS相关的WS-*标准并不特别感兴趣,而是为答案提供完整性,以下是与CBS相关的三个标准。更多信息可以是 在这里找到.

如果您在网络上,您可能想窥视Windows Azure ACS,这是实现基于索赔的AUTH的一种相对简单的方法,我敢肯定,您不需要在Azure上运行它即可使用它。它很好地包裹了Oauth,SAML等。

http://www.microsoft.com/en-us/appfabric/azure/middleware-services.aspx#accesscontrol

许可以下: CC-BY-SA归因
不隶属于 StackOverflow
scroll top