REST API d'authentification avec SAML

J'ai du mal à concevoir un grâce à saml2!.0 authentification pour une API REST à l'aide d'une passerelle. RESTE est utilisé entre mon serveur et mon application. Je suis à l'aide de Java filtre de Servlet et de Printemps.

Je vois deux possibilités:

  1. Ajouter les jetons SAML dans l'en-tête à chaque fois.
  2. Authentifier une fois avec SAML, puis à l'aide d'une session ou similaire (conversation sécurisée) entre le client et la passerelle.

Cas 1: C'est une bonne solution parce que nous sommes toujours Reposante mais:

  • Les jetons SAML sont assez grandes. C'est peut être produite problème dû à la grande taille de tête.
  • La relecture de jetons n'est pas la meilleure façon pour un problème de sécurité.

Cas 2: C'est pas plus apatrides et j'ai géré un lien avec le client. Depuis que j'ai utiliser une passerelle, les services sous-jacents peuvent encore être de tout repos.

Cas 2 recherche le meilleur choix malgré le fait qu'elle ne suit pas le reste les contraintes.

Est quelqu'un avait déjà de le faire et de me donner quelques conseils (pour la conception ou la mise en œuvre)?

Est-il une meilleure façon de le faire avec SAML?

Toute aide ou conseils sont les bienvenus.

L'utilisation de la deuxième approche. De nombreux fournisseurs de services de rejeter relus les jetons quand même. Est-ce pour authentifier les utilisateurs ou votre logiciel client?
C'est pour authentifier les utilisateurs
Vous pouvez également jeter un oeil à l'aide de OAuth2 pour la même si vous êtes ouvert à ont SAML suppléant.
Il n'y a pas une telle chose comme un jeton SAML. Vouliez-vous dire de mettre l'Assertion SAML dans un en-tête d'Autorisation? Parce qu'une assertion SAML ne peuvent être consommés une fois, car il a un ID unique (pour éviter les attaques de relecture). Aussi, chaque assertion SAML généralement n'a qu'une petite fenêtre de temps dans laquelle elle est valable (généralement de quelques minutes).

OriginalL'auteur Nereis | 2013-10-18

  1. 11

    Il est toujours en projet, mais: le OAuth2 SAML porteur profil peut-être une solution possible.
    http://tools.ietf.org/html/draft-ietf-oauth-saml2-bearer-17

    Utiliser un grâce à saml2! pour s'authentifier à un OAuth2 fournisseur, appelez votre service avec le OAuth2 jeton.

    Oh, je n'avais pas le troupeau.
    Il semble être le chemin à parcourir. Plusieurs grands noms de l'utilisation du web OAuth avec JSON web jeton (JWT) pour assurer leur service REST. Se référer également à ce projet: http://tools.ietf.org/html/draft-ietf-oauth-json-web-token-05#page-21 et la Sécurité des jetons de service (STS) keyworld
    Comment, alors, j'ai utilisé grâce à saml2! pour authentifier un OAuth2 fournisseur?
    Vous utilisez un STS pour faire la traduction. Il va manger un OAuth2 jeton et de générer un jeton grâce à saml2!.

    OriginalL'auteur Zelgada