在Web服务中使用令牌

时间:2012-02-08 13:29:49

标签: web-services authentication

我正在构建一个需要使用Web服务的应用程序;我想实现基于令牌的身份验证,如下所示:

  • 用户名/密码发送到WS
  • 如果验证,则服务器将唯一令牌发送回客户端
  • 客户端将以下所有调用中的令牌发送给WS,并在此次调用后将令牌过期时间更新为x分钟。

如果我使用令牌在每个WS调用中发送用户名(或用户ID)我是否已经完成了可接受的WS架构,或者我应该做些什么来提高我的应用程序的安全性?

1 个答案:

答案 0 :(得分:0)

您描述的身份验证机制听起来很像WS-TrustWS-SecureConversation安全标准所指定的机制。
我建议您依靠支持WS- *安全标准的库/框架,而不是从头开始重新实现身份验证方案。