如果我将从可信IdP发出的身份令牌发送到javaScript代码以便在调用带有身份验证的Web方法时使用它,是否有任何问题?
令牌是否加密是否存在安全问题!
就我而言,有一个Web应用程序要求IdP对用户进行身份验证。我正在使用带有Ws2007FederationBinding的WCF Web服务来发送安全令牌。当我从服务器调用服务时,一切都很好,但现在我如何使用JavaScript从客户端使用它?
答案 0 :(得分:1)
我不熟悉Ws2007FederationBinding。考虑到您需要从客户端进行调用,我认为在客户端中嵌入该令牌没有问题。
我相信当您需要使用外部API并且您拥有与您的服务相关联的某种“身份验证”令牌时,情况也一样。
答案 1 :(得分:1)
Ws2007FederationBinding是一个SOAP绑定,信封中包含SAML安全令牌。使用JavaScript绑定服务很难非常。
此绑定要求客户端与STS通信以获取SAML令牌并证明它是该服务(依赖方)的该令牌(holder-of-key)的请求者。这涉及在JavaScript中很难做到的加密操作。
最好的'解决此问题的方法是创建JavaScript层与之对话的RESTful代理服务,并让此REST服务与SOAP后端服务进行通信。您应该使用承载令牌(JWT)保护REST服务,并在调用SOAP服务之前将其交换为SAML令牌。
您可以使用.NET中的JWT token handler类来进行JWT和SAML之间的转换。