Я занимаюсь разработкой веб-службы SOAP версии 1.1 на Java.
У меня следующая ситуация:
- есть защищенный канал с ssh;
- клиенты не имеют учетных данных (у них нет имени пользователя и пароля);
- когда клиент открывает счет, генерируется токен сеанса;
- когда клиент делает запросы, подтвержденные его токеном сеанса;
- когда учетная запись клиента открыта, только ему или сотруднику разрешено закрыть учетную запись (тайм-аут сеанса не может существовать);
Каков наилучший способ обеспечения безопасности в этой ситуации? я должен сгенерировать токены сессии или уже есть apis / frameworks для этой работы? Может ли STS (Security Token Service) сделать это без требования учетных данных для входа?
Цель этого - вызвать веб-сервис в приложении для Android.