我正在为我公司的新应用程序进行安全设计。我们正在使用Windows Identity Foundation框架。
我有一个登录应用程序,它向成功进行身份验证的用户发出令牌。然后,令牌用于访问新应用程序。当然,这对用户来说是透明的。
WIF框架发布包含一些javascript的页面,其中包括标识经过身份验证的用户的安全令牌数据。 javascript指示用户浏览器将安全令牌数据发布到应用程序。
为了安全起见,有两个具体的选项,我想提一下。
显然,令牌加密至关重要。至关重要的是,应用程序能够将安全令牌识别为登录应用程序中的有效安全令牌。
至于令牌加密,我不知道为什么需要这个。安全令牌中的数据只是标识用户并为用户的会话提供标识符。
我的问题:安全令牌是否有一些固有的东西,它们不仅需要签名,还需要加密?
答案 0 :(得分:3)
实施您自己的加密方案很困难且容易出错。我强烈建议使用完整的传输层安全系统,如SSL。如果您使用自签名证书或使用某些版本的Windows Server 2008附带的Microsoft PKI,则SSL可以是免费的。