我们已经在为我们托管的多个Web应用程序使用CAS进行单点登录。现在我们将在我们的网络中部署多个HTTP / REST服务,这些服务需要身份验证和授权。
将CAS与OAuth结合起来是一个好主意吗?
用户仍然会使用CAS进行SSO,但是另外登录过程会发出用于访问REST服务的OAuth票证。
答案 0 :(得分:1)
可以通过CAS代理authn保护REST服务。此外,它们可以与OAuth集成。 CAS还提供OAuth和OIDC协议功能。
答案 1 :(得分:0)
这当然有效。 OAuth 2.0未指定/指示用户(资源所有者)如何进行身份验证,CAS / SSO对此有用。实际上,您将利用CASified授权服务器,以便资源所有者使用CAS对授权服务器进行身份验证,授权服务器“只是”CAS SSO系统的应用程序。然后,授权服务器将向客户端发出访问令牌,以便客户端可以使用该访问令牌来访问受保护的资源,即REST服务。