我找到了一篇关于将 Kerberos、JAAS 和 GSS-API 集成在一起用于重型 SSO 系统的优秀白皮书(由 Sun 撰写)。不幸的是,这篇文章是为 Java 1.4 编写的,已经有好几年了。
(1) 我想知道:这个“triumverate”(Kerberos-JAAS-GSS,或简称 KJG)是否仍然(从 J6 开始,J7 即将推出) Java EE 应用程序的主要 SSO 机制?如果不是,那是什么,您能简单解释一下它的架构吗?
我的应用程序还需要一些安全的 Web 服务。在阅读本文之前,我正在考虑使用 SSL 来保护传输,并使用 XWSS 或(更有可能)Apache 的 WSS4J 框架来进行身份验证/签名/加密:
(2) KJG(或您针对上述问题 1 推荐的任何解决方案)是否能够提供安全的 Web 服务?例如,是否可以使用 KJG 而不是 WSS4J/SSL?
第二个问题是我尝试查看是否可以重用大量 SSO 代码来实现安全的 Web 服务。在此先感谢您在正确方向上的任何投入或插入。
最佳答案
您考虑过 SAML 2.0 吗?
它的规范包含一个 Web SSO 配置文件,它在流行的 J2EE 身份产品中得到支持,例如 OpenAM(以前称为 OpenSSO)。我曾与 OpenASelect 合作过(使用 OpenSAML )实现 Web SSO。
关于Java EE SSO 最佳实践,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4880303/