Java EE SSO 最佳实践

Question

我发现了一份很棒的白皮书（Sun 提供），内容涉及将 Kerberos、JAAS 和 GSS-API 集成在一起以构建重型 SSO 系统。不幸的是，这篇文章是为 Java 1.4 编写的，已经有好几年了。

(1) 我想知道：这种“triumverate”（Kerberos-JAAS-GSS，或简称 KJG）仍然是（从 J6 开始，即将推出的 J7）主要的 SSO 机制对于 Java EE 应用程序？如果不是，那是什么？您能简要解释一下它的架构吗？

我的应用程序还需要一些安全的 Web 服务。在阅读本文之前，我正在考虑使用 SSL 来保护传输，并使用 XWSS 或（更有可能）Apache 的 WSS4J 框架进行身份验证/签名/加密：

(2) 是 KJG （或您针对上述问题 1 推荐的任何解决方案）都能够提供安全的 Web 服务吗？例如，是否可以使用 KJG 代替 WSS4J/SSL？

第二个问题是我尝试查看是否可以重用大量 SSO 代码来实现安全的 Web 服务。预先感谢您在正确方向上的任何意见或推动。

Answer 1

您考虑过 SAML 2.0 吗？

它的规范包含一个 Web SSO 配置文件，并且在流行的 J2EE 身份产品（例如 OpenAM（以前称为 OpenSSO））中受支持。我曾使用过 OpenASelect （它使用 OpenSAML) 来实现 Web SSO。