security - 基于令牌的安全策略和注意事项

我正在开发适用于以下客户端/服务器方案的安全设置，我有几个问题/注意事项，我想与您分享。

情况：我在不同平台上有许多客户：

HTML-client（使用jQuery / AJAX的单页应用程序（SPA））
Android的应用
Silverlight客户端
Windows客户端
Windows Mobile客户端

大多数相应的服务器组件都基于使用REST的.NET WCF（但对于某些后端，我正在使用其他协议）。

我发现开源项目IdentityServer v2 from ThinkTecture对我的解决方案来说是一个很好且灵活的安全令牌服务（STS）。它支持许多令牌类型，协议并且具有高度可扩展性，并且如果需要，还具有基于ASP.NET成员资格数据库的自包含身份提供程序（IdP）。

使用用户名/密码的客户端的基本流程如下：

客户端在其服务器上对资源（需要授权访问）进行未经授权的HTTP调用
由于客户端尚未通过身份验证，服务器会返回HTTP 401（未经授权），在HTTP Location标头中为STS提供地址（请参阅下面的说明）
客户端在HTTP Basic Auth标头
STS返回包含所有相关用户声明的JWT令牌
客户端现在重复步骤1中的初始请求，包括HTTP Auth Bearer标头中的JWT令牌
服务器验证令牌，因为它来自可信赖的STS源，并返回请求的资源

我知道步骤＃2在将HTTP 401错误消息与通常与HTTP 3xx状态代码相关联的HTTP Location标头组合时有点不正统。我需要401状态代码，因为我的jQuery / AJAX客户端自动处理302重定向消息，没有任何机会可以重新定位重定向。

现在，系统需要使用外部IdP。 “内部”STS被定制为将身份验证请求转发到外部IdP处理从外部IdP格式到内部格式的声明转换。其中一个问题就是它暗示了“密码反模式”，但目前所有系统都是内部和值得信赖的。

WS Federation可以成为我的朋友吗？

以上基本流程适用于所有客户端，基于浏览器或不基于浏览器。但对于特定的浏览器客户端，我一直在研究联合安全方案，让最终的IdP / STS为客户端提供登录机制。我使用的STS（IdentityServer）可以配置为与符合WS-Federation的STS一起使用。因此，令牌被自动转移到目标令牌格式（在我的情况下，例如从外部STS的SAML令牌转移到内部JWT令牌）。有了这个，我可以有某种SSO机制。

现在我的问题：

我描述的基本安全流程是否最佳？
WS-Federation是否仅适用于浏览器客户端？
如果没有，它如何与我的Android客户端一起使用？
在具有更多STS的WS-Federation中，如何在以下之间进行通信：客户端 - 内部STS - 外部STS（就HTTP通信，cookie和内容而言）。

基于令牌的安全策略和注意事项

1 个答案: