10

AuthorizationSAML トークンをヘッダーに挿入することで、一連の REST-ful サービスに対して認証するために SAML トークンを使用しています。

これを行う標準的な方法があることを示唆するものは何も見つかりません。たとえば、次を使用しますか?

Authorization: Bearer <EncryptedAssertion ...

また:

Authorization: Bearer PEVuY3J5cHRlZEFzc2VydGlvbiAuLi4=

また:

Authorization: SAML PEVuY3J5cHRlZEFzc2VydGlvbiAuLi4=

または、他の何か?

証明書に複数の名前コンポーネントがある場合、最初のものは機能しないことに注意してください (コンマがヘッダーの解析を台無しにするため)。

私が「Bearer」を使用しているという事実は、トークンの形式については何も言いません。

Apache CXF は 3 番目の亜種を使用しているようです。

どれが標準ですか?基準はありますか?そうでない場合、事実上の標準はありますか?

4

2 に答える 2

6

HTTP のカスタム認証スキームの標準は、RFC 2617 および 7235 で定義されています。

Authorization: scheme key="value", ...

あなたの特定のケースに標準があるとは思えませんが、これは受け入れられると思います:

Authorization: SAML bearer="PEVuY3J5cHRlZEFzc2VydGlvbiAuLi4="
于 2013-11-10T20:38:57.700 に答える
4

このトピックについてかなり多くの調査を行った後、Authorization ヘッダーで SAML トークンを使用する方法を定義する標準を見つけることができませんでした。

ただし、非常に有名な Web サービス スタックである CXF は、次の方法でSAML トークンをサポートしています。

Authorization: SAML eJydV1m....9fYTCPr=

OAuth2 は、SAML トークンで認証して OAuth2 アクセス トークンを受け取る方法も定義します。このアクセス トークンは、別の REST サービスを呼び出すために使用できます ( https://www.rfc-editor.org/rfc/rfc7522 )

POST /token.oauth2 HTTP/1.1
Host: as.example.com
Content-Type: application/x-www-form-urlencoded

grant_type=urn%3Aietf%3Aparams%3Aoauth%3Agrant-type%3Asaml2-bearer&
assertion=PHNhbWxwOl...[omitted for brevity]...ZT4
于 2016-10-20T10:53:15.190 に答える