目前我们正在开发(至少)两个不同的应用程序,它们将使用STS令牌进行访问控制。应用程序是同一个SOA系统的一部分,并且将始终共存于。
App1被claimset1保护,app2被claimset2保护。
由于STS令牌是为某个领域请求的,因此我们可以选择
- 合并claimset1&2并在两个应用程序中使用相同的域
- 合并claimset1&2,并为app1域发布app2信任令牌
- 让app1请求一个令牌来访问app2(使用on-behalf-of)
对我来说,选项1最吸引人,因为我们只需要使用一个令牌。除了STS的配置,如果还有其他需要考虑的问题,你能帮助我吗?
谢谢你的时间。大卫。
看情况。如果App1需要代表呼叫App1的用户呼叫App2,您应该选择选项3。
如果App1和App2是完全独立的,你应该为每个应用请求一个单独的令牌,以防止用户使用他们为App1获得的令牌访问App2中的资源(令牌转发)。
对于两个应用程序使用相同的领域,我只建议它们不是真正独立的应用程序。如果可能的话,你需要为app1添加app2不应该访问的声明(比如敏感信息),这样就不可能区分应用了。