我正在编写一个带有基本身份验证的SOAP服务。为了确定消费者是否可以访问资源,我分析他的凭据。但我还需要一些额外的信息:用户(作为人)所属的公司。
用户可以属于多个公司。所以他可以,例如在以公司员工my_document_xyz_a身份登录时,以公司firm_A的员工身份登录时,访问my_document_xyz_b等文档,以及firm_B等文档。
所以我/我的SOAP服务器需要/ -s凭证(username和password)和公司名称(或令牌)。
哪个HTTP标头适用于此目的?或者我应该使用自定义标头HTTP标头吗?
答案 0 :(得分:0)
只需在SOAP方法架构中添加一个安全性部分即可传递用户角色。
但是如果你真的想要它在标题中(因为你的代码已经解析了HTTP标头以获取身份验证信息),那么使用cookie。