私はサービス指向アーキテクチャを設計しており、クライアントを認識してリソースにアクセスできるようにするために認証サービスも必要です。 pubkeyでとのPrivateKey SOA - 認証サービス設計
を用いpubkeyでとのPrivateKey
- 記号:
は実際に私は2つの可能な解決策を見つけました私のニーズに合わせてシステムを設計するにはあまりにも多くのオーバーヘッドを追加することになるため、より単純な(しかし強力な)認証ソリューションを採用することを好む。
ここで私は、APIリクエスト(リクエストと一緒に渡すトークンを取得する)によってクライアントに照会されるか、または各単一のAPIエンドポイントによって照会されて、HMACの逆チェックを実行するかのどちらかを問わず、
AuthenticationService
一致するかどうかを確認する要求に署名した(HMACを生成するために使用された秘密鍵が有効かどうかを確認する)。私はいくつかの操作を行い、最終的な開発者のための簡単であるために、最新のを見ることができますが、それはまた、トークンを検証し、それが有効期限です処理するために多くのチェックが必要になります...
何潜在的なセキュリティ上の問題
でしトークンソリューション単一要求のHMACはそうではないと提起するか?あなたは何を好きですか、おそらく理由は何ですか?
_SOA認証ではどういう意味ですか?独自のSOAスイートを構築していますか? SOAは多くのテクノロジー(メッセージング、Webサービス、BPELなど)の複合体であり、使用するSOAスイートでは、ESBの外部から来ているかどうかにかかわらず、リクエストごとにユーザーを認証するための既成の手段を提供する必要がありますそれの。 –
私は、アーキテクチャ全体がサービス指向で構築されていることを意味します。すべてのサービスは、要求を許可/拒否するためにユーザーが誰であるかを認識する必要があるため、認証が必要です。これは独立したサービス自体でもあります。 –
@ AlonsoDominguez私はポスト本体を編集しました。あなたは正しいでしょう。おそらく、 "SOA認証"として明確ではないかもしれません。 –