单一登录以保护REST API和基于Web的内部系统

我需要一些关于如何使用单一身份validation系统保护REST API和基于Web的内部系统的建议。

我正在研究使用的可能性:

  1. oAuth 2.0
  2. JA-SIG CAS
  3. 自定义实现(实现两个独立的API)
    1. 保护REST API并将调用重定向到特定的API实例
    2. validationWeb应用程序用户。

我假设您有一个用于您的webapp的UI,并希望在您的webapp和您的Web服务之间共享您的身份。 您可以通过以下方式实现:

  1. “cassifying”您的webapp(例如: https ://wiki.jasig.org/display/CASC/Configuring+the+Jasig+CAS+Client+for+Java+in+the+web.xml)
  2. 将您的呼叫从您的webapp转接到您的Web服务( https://wiki.jasig.org/display/CAS/Proxy+CAS+Walkthrough )。

以下是有关如何保护REST API的一些建议。 它们与iPhone有关,但它们通常适用于客户端/服务器REST API实现。 没有更多信息我不知道它们有多适用,但它们可能会帮助你:

在iPhone应用程序中使用REST API时的安全性

https://stackoverflow.com/questions/15390354/api-key-alternative/15390892#15390892

    Interesting Posts

    通过OAuth支持Facebook / Twitter身份validation的CAS服务器

    CAS单点登出不起作用

    CAS注销和cookie消除

    SSO,未知

    CAS 4 – 成功validation后无法检索LDAP组

    java.security.InvalidAlgorithmParameterException:使用cas 时,trustAnchors参数必须为非空

    AtomicInteger weakCompareAndSet上的“虚假失败”是什么意思?

    调用Restful Webservice时,Uri不是绝对exception

    CAS 4.2获取LDAP属性

    与CAS合并Pentaho BA 7社区版