Существуют ли стандарты безопасности на основе утверждений через HTTP?

Question

Я изучал федеративную безопасность и аутентификацию / авторизацию на основе утверждений, и мне действительно нравится то, что я вижу.

Я также большой поклонник сервисов RESTful и предпочитаю избегать использования SOAP и спецификаций WS- *, если в этом нет необходимости.

Существуют ли какие-либо стандарты для обработки аутентификации на основе утверждений через базовый HTTP?

Answer 1

OpenID .Спецификация Обмен атрибутами позволяет передавать произвольные атрибуты субъекта.Он использует только HTTP и работает с любым браузером.Аналогичным образом OAuth позволяет пользователям делегировать права доступа к выбранным службам. OAuth2 еще больше расширяет набор вариантов использования.

Answer 2

SAML .Это стандарт OASIS, и вот презентация, в которой говорится о Безопасность на основе утверждений с SAML .

Здесь вы найдете реализации с открытым исходным кодом , чтобы начать работу.

по HTTP : я недавно провел только ограниченное исследование по этой теме, но ознакомился с профилями SAML 1.1

Я знаю, что вы не особенно заинтересованыв стандартах WS- *, связанных с CBS, но для полноты ответа ниже приведены три стандарта, которые относятся к CBS.Больше информации можно найти здесь .

Answer 3

Если вы в сети, возможно, вы захотите взглянуть на Windows Azure ACS, это относительно простой способ реализации аутентификации на основе утверждений, я уверен, что вам не нужно работать на Azure, чтобы использовать Это. Он очень хорошо оборачивает OAuth, SAML и т. Д.

http://www.microsoft.com/en-us/appfabric/azure/middleware-services.aspx#AccessControl