简单网站的身份验证和授权

Question

我正在努力解决这些问题，并且无法在网上找到好的资源。

我们正在寻找方法来切换紧密集成到我们的应用程序中的基于标准的身份验证和授权的自定义实现。

我们的方案如下：

• 一个简单的网站（可能是附近的应用程序）
• 用户必须登录或以其他方式获取访问权限（即，没有＆＃34;访客＆＃34;内容或您作为访客可以做的其他事情）
• 该站点在后端使用自己的Web服务（REST和/或SOAP），但它可能使用第三方Web服务或将其自己的服务公开为其他应用程序的第三方服务
• 外部提供商可以很好地进行身份验证：用户携带智能卡，我们希望有一个简单的身份提供商读取智能卡信息并将其发送回我的简单网站（所以我知道谁用户是他的角色，例如）
• 其他网站可能会使用其他身份验证方法（例如简单的用户名/密码），因此我们可能需要一个可配置的服务提供商？

我目前正在考虑使用OAuth（2）来实现授权使用我们的REST服务（它对SOAP有用吗？）到我们的网站，也许只需要一个简单的＆＃34;客户端凭据授权＆＃ 34;类型。

但是对于身份验证，我仍然没有更聪明。有OpenID，但是建立自己的OpenID身份提供商是否容易？有Shibboleth，但它似乎有一个陡峭的学习曲线做自定义的东西。我已经考虑过基于具有HTTP Post绑定的SAML身份验证请求协议从头开始构建一些东西。还有其他选择吗？

请注意，我们希望我们的身份验证具有灵活性。对于某个站点，我们可能想要做智能卡的事情，但对于另一个可能用LDAP进行简单的用户名/密码登录。

Answer 1

如果它仍然有用，我个人想过自己做，然后发现了一堆第三方。我比较了（2015年5月18日）：

• Auth0
• AuthRocket
• UserApp
• DailyCred

我的结论是Auth0 ，因为虽然所有功能非常相似，但感觉最合理，因为它不是一个可能在几个月内消失的初创公司。现在，对我来说非常重要的原因是因为登录是一个基本要求，所以我需要相信作为一个客户，认证即服务将会随着时间的推移而持续。

以下是完整的比较故事： https://medium.com/@bsemaj/authentication-as-a-service-comparison-5-quick-lessons-for-b2b-businesses-e7587275824c