使用 Kerberos 和 JAAS 保护 Java EE Web 服务

Question

找到这篇文章 <基于 Java 的 SSO 系统，想知道它是否以任何方式适用于安全 Web 服务。

对于安全的 Web 服务，您需要：

1. 安全的传输 身份
2. 验证
3. 数字标牌
4. 加密的有效负载

通常这可以通过 SSL 传输使用一些符合 OASIS 的安全框架（CXF、WSS4J、XWSS 等）来完成。

我对 Kerberos、JAAS 或 GS​​S 一点也不熟悉，但在我看来，如果它们可以用来保持客户端和多个 Java EE 应用程序之间的安全连接，为什么它们不能与其中之一一起使用这些框架（如 WSS4J）提供 WSS。

我可以使用 Kerberos，而不是 SSL，然后让 WSS4J 处理所有 WS 特定的内容。

通过这种方式，我可以制作可重用的 Kerberos 组件，这些组件既可用于 SSO，又可用于 Web 服务中的传输层安全。

我完全疯了吗？

Answer 1

尤吉，
所规定的要求是典型的。但细节差异很大。
因此，得出单一方法或解决方案的结论是不切实际的。

需求需要进一步细分，单独分析。

例如：SSO 大致有两个要求 a) 身份验证 b) 授权。
您可以对这两个解决方案使用单一解决方案，也可以对每个解决方案使用多个解决方案。详细的系统可以同时使用多种身份验证，例如基于表单、基于证书、基于令牌、远程身份验证。

如果需要授权，我们可以使用 LDAP/ActiveDirectory/Domino 提供集中式解决方案
或与上述所有协调的分散。

这些解决方案中的每一个都有局限性，例如，Kerberos 不能有效地抵御密码猜测攻击。

安全解决方案的选择取决于许多参数，例如
持续的威胁、成本、性能等。WS

-Security 项目试图解决许多此类架构问题。
回答您的问题 - 不，您不能将 kerberos 用于 SSO 和传输层加密
——基兰·库马尔