使用 Kerberos 和 JAAS 保护 Java EE Web 服务

发布于 2024-10-16 11:50:24 字数 603 浏览 3 评论 0原文

找到这篇文章 <基于 Java 的 SSO 系统,想知道它是否以任何方式适用于安全 Web 服务。

对于安全的 Web 服务,您需要:

  1. 安全的传输 身份
  2. 验证
  3. 数字标牌
  4. 加密的有效负载

通常这可以通过 SSL 传输使用一些符合 OASIS 的安全框架(CXF、WSS4J、XWSS 等)来完成。

我对 Kerberos、JAAS 或 GS​​S 一点也不熟悉,但在我看来,如果它们可以用来保持客户端和多个 Java EE 应用程序之间的安全连接,为什么它们不能与其中之一一起使用这些框架(如 WSS4J)提供 WSS。

我可以使用 Kerberos,而不是 SSL,然后让 WSS4J 处理所有 WS 特定的内容。

通过这种方式,我可以制作可重用的 Kerberos 组件,这些组件既可用于 SSO,又可用于 Web 服务中的传输层安全。

我完全疯了吗?

Found this article on Java-based SSO systems and was wondering if it is in any way at all applicable to secure web services.

With secure web services, you need:

  1. A secure transport
  2. Authentication
  3. Digital signage
  4. Encrypted payloads

Usually this can be accomplished with some OASIS-compliant secure framework (CXF, WSS4J, XWSS, etc.) over SSL for the transport.

I'm not familiar at all with Kerberos, JAAS or GSS, but it seems to me that if they can be used to keep secure connections between a client and multiple Java EE apps, why couldn't they be used in tangent with one of those frameworks (like WSS4J) to provide WSS.

Instead of SSL, I could use Kerberos, then let WSS4J handle all the WS-specific stuff.

This way, I could make reusable Kerberos components that could be used both in SSO and for transport layer security in web services.

Am I completely off my rocker here?

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(1

怀里藏娇 2024-10-23 11:50:24

尤吉,
所规定的要求是典型的。但细节差异很大。
因此,得出单一方法或解决方案的结论是不切实际的。

需求需要进一步细分,单独分析。

例如:SSO 大致有两个要求 a) 身份验证 b) 授权。
您可以对这两个解决方案使用单一解决方案,也可以对每个解决方案使用多个解决方案。详细的系统可以同时使用多种身份验证,例如基于表单、基于证书、基于令牌、远程身份验证。

如果需要授权,我们可以使用 LDAP/ActiveDirectory/Domino 提供集中式解决方案
或与上述所有协调的分散。

这些解决方案中的每一个都有局限性,例如,Kerberos 不能有效地抵御密码猜测攻击。

安全解决方案的选择取决于许多参数,例如
持续的威胁、成本、性能等。WS

-Security 项目试图解决许多此类架构问题。
回答您的问题 - 不,您不能将 kerberos 用于 SSO 和传输层加密
——基兰·库马尔

Eugie,
The requirements stated are typical. But the details vary to a large degree.
Hence it is not practical to conclude on a single approach or solution.

The requirements need to be further broken down and analysed seperately.

for eg : SSO broadly has two requriments a)Authentication b) Authorization.
You could use single solution for both or multiple solutions for each. An eloborate system could be using multiple authentications at the same time like .. form-based, certifcate based , token based , remote-auth.

In case of authorization we could have a centeralized solution using LDAP/ActiveDirectory/Domino
or a decentralized with all above co-ordinating.

Each of these solutions have limitations , for eg,Kerberos is not effective against password guessing attacks

The choice of security solutions depends on many parameters like
persived threat, cost, prrformace etc..

WS-Security project tries to address many such architectural concerns.
To answer your question -- No you cannot use kerberos for both SSO and transport layer encryption
--Kiran.Kumar

~没有更多了~
我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
原文