超媒体 (ReST) SOA：一致的服务级别身份验证的良好设计？

Question

我目前正在开发一个 SOA 解决方案，其中架构中的每个服务都是安全的、经过身份验证的超媒体资源（就像在真正的超媒体中一样，而不是具有漂亮 URL 的 RPC）。

面向客户、公司内部和客户构建的应用程序将构建在此架构之上（这没什么不寻常的）。我不能假设应用程序之间存在通用的身份验证模式，因为用户识别和凭证管理的要求可能存在很大差异。

由此可见，架构中的服务必须采用单独的身份验证方案。理想情况下，这在服务（例如 HMAC）之间应该完全一致，以允许尽可能多的客户端/服务器模块重用。

我向您提出的问题是：是否有一种通用模式可以跨解耦服务提供一致的身份验证和凭证管理？如果是这样，那是什么？

我提出了一些想法，但如果有经验丰富的工程师提供意见，我们将不胜感激：

1)每个服务都公开一个离散但机械上相同的身份验证接口，并且负责自己的凭证管理。

2) 与 1) 相同，但具有共享凭证管理。架构中的每个服务仍然公开离散的身份验证接口，如1)，但底层数据介质是共享的。

3) 有一个共享身份验证服务，负责自身和所有其他服务的身份验证和凭证管理。

我发现想法2)是最吸引人的，但它需要一些改进。除非我在这里完全走错了路。

请大家多多批评/建议。当然要记住，这是关于设计而不是实现；目前我对框架/中间件/协议 XYZ 不感兴趣。

对散文表示歉意，并感谢您的阅读。

Answer 1

LDAP 是 -->从而集中凭证。

亚马逊的 AWS 身份验证方案已在那边上线。每个应用程序都可以实现该功能并参考 LDAP 获取凭据。

如果您愿意，OAuth 已在此处启动集中整个套件。

只是澄清一下，这不应该是一个思想实验。已经完成了，没有理由重做。四处寻找标准并实施它们。与 LDAP 交互的东西有很多。 AWS 是一个临时标准，但它可以完成工作并回答大多数人的问题，并且已经过审查，发现了缺陷并进行了修复，并且在我们发言时已被许多人广泛使用。如果您想去那里，OAuth 可以帮助解决中央身份验证问题。