我找到了一份很棒的白皮书(由Sun撰写),有关将Kerberos,JAAS和GSS-API集成到一个重型SSO系统中。不幸的是,该文章是针对Java 1.4编写的,已有多年历史了。
(1)我想知道:这种“成功的”(Kerberos-JAAS-GSS或简称KJG)仍然是Java EE应用程序的主要SSO机制(自J6起,J7即将推出)吗?如果不是,那是什么,您能简要解释一下它的体系结构吗?
我的应用程序还需要一些安全的Web服务。在阅读本文之前,我正在考虑使用SSL来保护传输和XWSS或(更可能是)Apache的用于身份验证/签名/加密的WSS4J框架:
(2)KJG(或您为上面的问题1建议的任何解决方案)是否能够提供安全的Web服务?例如,可以使用KJG代替WSS4J / SSL吗?
第二个问题是我尝试查看是否可以将许多SSO代码重用于安全的Web服务实现。预先感谢您的任何输入或朝正确方向的推动。
最佳答案
您是否考虑过SAML 2.0?
它的规范包含一个Web SSO概要文件,并且在流行的J2EE身份产品(例如OpenAM(以前称为OpenSSO))中受其支持。我已经与OpenASelect(使用OpenSAML)一起实现了Web SSO。