Размер токена SAML и ОТДЫХ

Question

Мы внедряем STS (аутентификацию на основе утверждений) для сервисов на основе REST. Одной из причин, по которой многие из нас решили создать службы REST (с JSON), была небольшая площадь по проводам. При использовании STS токен SAML с несколькими утверждениями о том, что размер SAML становится несколькими килобайтами. Для большинства вызовов REST, когда мы не возвращаем список объектов, размер ответа не превышает 100 байт, и для этих вызовов этот токен кажется слишком большим излишним. Как вы справились с этим в своих проектах?

Answer 1

... или JWT (JSon Web Token). ACS поддерживает это тоже. Проверьте эту статью: JSON Web Token Handler для Microsoft .NET Framework 4.5 Вот пример использования этой библиотеки с .Net 4.5, которая выдает и проверяет JWT, подписанный с помощью HMAC SHA256 на основе симметричного ключа.

string jwtIssuer = "MyIssuer";
string jwtAudience = "MyAudience";

// Generate symmetric key for HMAC-SHA256 signature
RNGCryptoServiceProvider cryptoProvider = new RNGCryptoServiceProvider();
byte[] keyForHmacSha256 = new byte[64];
cryptoProvider.GetNonZeroBytes(keyForHmacSha256);

///////////////////////////////////////////////////////////////////
// Create signing credentials for the signed JWT.
// This object is used to cryptographically sign the JWT by the issuer.
SigningCredentials sc = new SigningCredentials(
                                new InMemorySymmetricSecurityKey(keyForHmacSha256),
                                "http://www.w3.org/2001/04/xmldsig-more#hmac-sha256",
                                "http://www.w3.org/2001/04/xmlenc#sha256");

///////////////////////////////////////////////////////////////////
// Create token validation parameters for the signed JWT
// This object will be used to verify the cryptographic signature of the received JWT
TokenValidationParameters validationParams =
    new TokenValidationParameters()
    {
        AllowedAudience = s_jwtAudience,
        ValidIssuer = s_jwtIssuer,
        ValidateExpiration = true,
        ValidateNotBefore = true,
        ValidateIssuer = true,
        ValidateSignature = true,
        SigningToken = new BinarySecretSecurityToken(keyForHmacSha256),
    };

///////////////////////////////////////////////////////////////////
// Create JWT handler
// This object is used to write/sign/decode/validate JWTs
JWTSecurityTokenHandler jwtHandler = new JWTSecurityTokenHandler();

// Create a simple JWT claim set
IList<Claim> payloadClaims = new List<Claim>() { new Claim("clm1", "clm1 value"), };

// Create a JWT with signing credentials and lifetime of 12 hours
JWTSecurityToken jwt =
    new JWTSecurityToken(jwtIssuer, jwtAudience, payloadClaims, sc, DateTime.UtcNow, DateTime.UtcNow.AddHours(12.0));

// Serialize the JWT
// This is how our JWT looks on the wire: <Base64UrlEncoded header>.<Base64UrlEncoded body>.<signature>
string jwtOnTheWire = jwtHandler.WriteToken(jwt);

// Validate the token signature (we provide the shared symmetric key in `validationParams`)
// This will throw if the signature does not validate
jwtHandler.ValidateToken(jwtOnTheWire, validationParams);

// Parse JWT from the Base64UrlEncoded wire form (<Base64UrlEncoded header>.<Base64UrlEncoded body>.<signature>)
JWTSecurityToken parsedJwt = jwtHandler.ReadToken(jwtOnTheWire) as JWTSecurityToken;

Answer 2

Вы можете использовать токены SAML с конечными точками REST, но чаще вы найдете людей, использующих вместо них простые веб-токены (SWT).Меньше, проще и т. Д.

ACS (Служба контроля доступа в Windows Azure PLatform) реализует это, например.