SOA服务认证/授权

Question

当我们朝着 SOA 方向发展时，出现的一个主题是如何让每个服务对服务请求进行身份验证和授权。

我不久前看到以下问题发布，想知道是否还有更多内容那。

我目前正在创建一个安全服务，该服务负责处理访问应用程序的用户的身份验证和授权。

为了解决要求验证的服务问题，我正在考虑向该服务添加一个操作，以便其他服务可以验证将在消息中提供的安全令牌。我还在考虑使用 Apache WSS4J 来帮助处理令牌。

想法 - 目前我们还没有考虑 BPEL，那么我仍然可以使用 WSS4J 吗？

Answer 1

是的 - 您可以使用 WSS4J - 但在 SOA 中，身份验证和授权的概念超出了 wss4j。您将看到 Apache Axis2 和 CXF 具有围绕 wss4j 开发的包装器，以支持 Web 服务安全标准，例如 WS-SecurityPolicy、WS-Trust...

此外，当涉及到授权时，事实上的标准是 XACML。 XACML 为您的 SOA 部署带来了基于策略的细粒度授权模型。

WSO2 Identity Server 是一个开源产品，支持所有这些功能。

[免责声明：我我是 WSO2 的建筑师]

Answer 2

这实际上取决于您打算部署到哪个 Web 服务框架。

大多数 Web 服务框架已经在基本用户名令牌级别上提供了某种身份验证和授权服务，或者通过后端数据库、ldap 或 xml 配置文件定义提供 saml 支持。 Apache CXF、JBoss、Oracle SOA、WebSphere、Tomcat 等。

您应该调查默认功能是否已经为您提供了您想要实现的目标。