我一直在研究联合安全和基于声明的身份验证/授权,并且非常喜欢我所看到的。
我也是RESTful服务的忠实粉丝,除非有必要,否则我宁愿避免使用SOAP和WS- *规范。
是否有基于HTTP处理基于声明的身份验证的标准?
答案 0 :(得分:3)
OpenID。 Attribute Exchange规范允许传输主题的任意属性。它仅使用HTTP,适用于任何浏览器。以类似的方式,OAuth允许用户委派对所选服务的访问权限。 OAuth2进一步扩展了用例集。
答案 1 :(得分:2)
SAML。这是OASIS标准,这里是关于Claims Based Security with SAML的演示文稿。
在这里find open source implementations让你开始。
通过HTTP :我在某个时候对此主题进行了有限的研究,但请查看SAML 1.1 Profiles
我知道您对与CBS相关的WS- *标准并不特别感兴趣,但为了提供答案的完整性,以下是与CBS相关的三个标准。更多信息可以是found here。
答案 2 :(得分:1)
如果你在网上你可能想看看Windows Azure ACS,这是一种相对简单的方法来实现基于声明的身份验证,我很确定你不需要在Azure上运行就可以使用它。它很好地包装了OAuth,SAML等。
http://www.microsoft.com/en-us/appfabric/azure/middleware-services.aspx#AccessControl