本文来自网易云社区

单点登录(Single Sign On),简称为 SSO,目前已经被大家所熟知。简单的说, 就是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。 举例: 我们可以使用corp邮箱的账号登录oa系统; 登录了网易通行证,就能够轻松在邮箱,云音乐等应用中来回切换,而不需要每次都输入账号/密码。SSO的解决方案,有我们非常熟悉的OpenID,和本文准备介绍的WS-Federation,以及其他SAML,CAS等等。

WS-Federation(简称: WS-Fed)属于Web Services Security(简称: WS-Security、WSS: 针对web-service安全性方面扩展的协议标准集合) 的一部分,是由OASIS(https://www.oasis-open.org)发布的标准协议,其主要贡献者是Microsoft 和 IBM。WS-Fed 1.1 版本发布于2003年, 最新的1.2版本标准发布于2009年。 所以这协议不是个新鲜玩意,而是个老家伙(OpenID是在2005年才开发了第一个版本)。只不过该协议主要应用在企业服务,并且是在微软自己的产品中主推,其他厂家的产品可能更愿意选择SAML。另外,该标准是基于SOAP的,整个协议虽然功能强大,细节考虑周全,但实现起来会比较重,只有为了能和微软的服务整合,才会优先考虑该协议。

WS-Federation的基本目标就是为了能够简化联合(所谓联合: Federation,是指一组相互之间存在安全共享资源关系的领域集合)服务的开发。WS-Fed使用了原有的WS-Security框架,WS-Trust和WS-SecurityPolicy。WS-Security框架提供了如何基于安全令牌的SOAP消息传输机制;WS-Trust定义了Security Token Service (STS)协议用于请求/发布安全令牌;WS-SecurityPolicy允许具体的应用服务描述它们各自的安全需求。WS-Federation 拥有以下扩展特性:

Ø  Federation Metadata

当一个组织需要连接到一个已存在的联合时,这些联合的成员就需要把相关服务的配置信息公布出来并互相交换。从而使得联合中的成员都能够识别那些共用的服务(例如Identity服务),还有那些用来访问服务的策略信息。为此WS-Fed定义了元数据模型和文档格式用于这些相关服务的发现和结合,以此产生的联合元数据文档(Federation Metadata Document)描述了服务是如何参与到联合中,并如何被其他服务调用。

Ø  Authorization

WS-Fed中定义的授权模型不仅能够满足基本的联合内不同服务间基本的通用授权需求。额外增加了2个扩展特性用于丰富授权功能:

a)         允许在发往STS的RST请求中可以附加一个关于当前令牌请求的环境信息

b)         允许在处理不同的具体请求中声明不同的具体要求。

Ø  Authentication Types

WS-Fed为常用的认证方式和保证级别定义了一套通用资源标识符(URI),可以在RST和RSTR消息的wst:AuthenticationType参数中直接使用,从而方便联合内服务之间的交互。

Ø  Attribute Services

当请求者在访问某些资源时,可能会被要求提供一些额外信息用于完成访问授权。但这些信息又没有包含在STS颁发的令牌中。因此,属性服务就可以用于解决此类常见问题,它可以让请求者在必要的时候来获取到当前账号的额外信息,从而完成后继的资源访问授权。WS-Fed中定义了一个基于STS概念的属性服务访问模型

Ø  Pseudonym Services

通过笔名服务可以使得不同的联合服务获取到的是不同的笔名身份信息,从而降低身份诈骗的安全风险。 WS-Fed描述了笔名服务如何透明地STS整合,从而自动地将笔名映射到所颁发的实际安全令牌。

Ø  Privacy

WS-Fed扩展了RST/RSTR语法,定义了请求者如何声明其隐私要求 以及 STS在颁发安全令牌时如何声明隐私机制已经被启用。通过隐私机制,当请求者向具体服务发起请求时,就可以附带上相关个人/组织的隐私要求。

Ø  Indicating Specific Policy and Metadata

现实中请求者在访问具体服务时,其中的某个请求可能会被要求额外的安全保证。为此WS-Fed定义了该机制,能够通过请求者某个请求需要附加额外的安全语义,并且能够让请求者在碰到类似情况时可以自动重建请求,附加上安全语义后,再次尝试和指定服务通讯。

Ø  Federated Sign-Out

WS-Fed定义了联合登出的机制。基于该机制,当某个账号声明登出时,联合中所有参与的服务都能够识别到这个登出动作,从而清理所有相关的登录状态或者安全令牌,进一步提高安全性。

Ø  Web (passive) Requestors

由于WS-Trust模型要求应用完全基于SOAP,这个显然会限制使用场景。 WS-Federation为了解决这个问题,扩展了该模型,可以采用HTTP中最基础的机制(GET,POST,重定向,cookie)来封装WS-Trust协议。从而,摆脱了对SOAP的强制依赖。 所有支持HTTP 1.1标准的浏览器 或者 web应用都可以使用上WS-Fed。WS-Fed中称呼该模式为: “WS-Federation Passive Requestor Profile” (相应的, 基于SOAP的就是Active requestor profile)。 该流程也是目前我们最常用的方式,来看一下流程示例:

流程说明:

1.         Browser向 SP 发起请求获取资源A

2.         SP请求Browser提供认证凭证

3.         Browser向IP请求认证凭证

4.         Browser 和 IP 进行认证,例如: IP弹出个可供输入账号/密码的窗口,用户输入后上传给IP

5.         IP鉴定身份,发布认证凭证 (即,对应第3步的应答)

6.         Browser将IP给的凭证发送给SP (即,对应第2步的应答)

7.         SP判断凭证合法后,返回资源给Browser (即,对应第1步的应答)

对比一下OpenID的认证流程:

很明显的差异在于: OpenID在认证流程中,RP和OP之间是需要互相通讯的;而WS-Fed中SP和IP之间没有直接的通讯,全部通过Browser转发完成。因此OpenID认证流程必须保证OP能够和所有依赖该OP的应用服务(RP)直接通讯,并且在执行性能上会依赖RP和OP之间的通讯状况。而WS-Fed对IP的保护会更好,只需要保证使用者能够和IP通讯即可,认证性能上也能有更好的保证。此外,WS-Fed协议本身就支持授权机制,并且更多地考虑了企业的应用场景需求;而OpenID只支持认证功能。所以,简单来讲: WS-Fed 更适合企业用户;而OpenID更适合个人用户。

WS-Fed的开源实现比较少,基于Java的就更少。目前能找到实现该协议的有Apache CXF Fediz 和 auth10-java。 前者是一套比较完整的Web Security框架包含应用端和认证服务器端的实现; 后者仅仅是一个可以使用WS-Fed协议进行SSO的应用端模板。

最后,提一下OAuth。OAuth的设计目的是为了解决授权(Authorization)问题,它并不涉及到认证(Authentication)逻辑,与WS-Fed,OpenID有本质的差别。前者的着重点在于“你能做什么”,后者的着重点在于“你是谁”。将OAuth应用于”认证”场景的,本质上都是伪认证,前提是我们假设授权服务只会把资源的权限授予给该资源的拥有者。 目前OpenID已经发展到了OpenID Connect,实质上可以视为Authentication+OAuth2,从而一揽子解决认证和授权问题,并且得到了很多大公司的支持,相信以后会逐步替代单独的OpenID服务。

参考资料

Ø  https://msdn.microsoft.com/en-us/library/bb498017.aspx

Ø  http://docs.oasis-open.org/ws-sx/ws-trust/200512

Ø  https://www.oasis-open.org/standards#wsfedv1.2

Ø  https://msdn.microsoft.com/en-us/library/ff423674.aspx

Ø  http://cxf.apache.org/fediz.html

Ø  https://github.com/auth10/auth10-java

原文: 聊聊WS-Federation

网易云新用户大礼包:https://www.163yun.com/gift

本文来自网易实践者社区,经作者邱晟授权发布。

相关文章:
【推荐】 Amazon新一代云端关系数据库Aurora(下)
【推荐】 行为式验证码的前景
【推荐】 知物由学 | 一文读懂互联网内容审核机制

聊聊WS-Federation(test)的更多相关文章

  1. CAS 之 Apereo CAS 简介(一)

    CAS 之 Apereo CAS 简介(一) Background(背景) 随着公司业务的不断扩展,后台接入子系统不断增多,那么我们将针对不同的平台进行拆分为各自对应的子系统, 权限是不变的,那么我们 ...

  2. 单点登录(十三)-----实战-----cas4.2.X登录启用mongodb验证方式完整流程

    我们在之前的文章中中已经讲到了正确部署运行cas server 和 在cas client中配置. 在此基础上 我们去掉了https的验证,启用了http访问的模式. 单点登录(七)-----实战-- ...

  3. CoreWCF 1.0 正式发布,支持 .NET Core 和 .NET 5+ 的 WCF

    CoreWCF 1.0 正式发布,支持 .NET Core 和 .NET 5+ 的 WCF https://devblogs.microsoft.com/dotnet/corewcf-v1-relea ...

  4. 聊聊高并发(二十九)解析java.util.concurrent各个组件(十一) 再看看ReentrantReadWriteLock可重入读-写锁

    上一篇聊聊高并发(二十八)解析java.util.concurrent各个组件(十) 理解ReentrantReadWriteLock可重入读-写锁 讲了可重入读写锁的基本情况和基本的方法,显示了怎样 ...

  5. 聊聊WS-Federation

    本文来自网易云社区 单点登录(Single Sign On),简称为 SSO,目前已经被大家所熟知.简单的说, 就是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统. 举例: 我们 ...

  6. Hadoop2.0NameNode HA和Federation实践

    一.背景 天云趋势在2012年下半年开始为某大型国有银行的历史交易数据备份及查询提供基于Hadoop的技术解决方案,由于行业的特殊性,客户对服务的可 用性有着非常高的要求,而HDFS长久以来都被单点故 ...

  7. 聊聊OkHttp实现WebSocket细节,包括鉴权和长连接保活及其原理!

    一.序 OkHttp 应该算是 Android 中使用最广泛的网络库了,我们通常会利用它来实现 HTTP 请求,但是实际上它还可以支持 WebSocket,并且使用起来还非常的便捷. 那本文就来聊聊, ...

  8. Nginx如何配置Http、Https、WS、WSS?

    写在前面 当今互联网领域,Nginx是使用最多的代理服务器之一,很多大厂在自己的业务系统中都是用了Nginx作为代理服务器.所以,我们有必要了解下Nginx对于Http.Https.WS.WSS的各项 ...

  9. 聊聊Unity项目管理的那些事:Git-flow和Unity

    0x00 前言 目前所在的团队实行敏捷开发已经有了一段时间了.敏捷开发中重要的一个话题便是如何对项目进行恰当的版本管理.项目从最初使用svn到之后的Git One Track策略再到现在的GitFlo ...

随机推荐

  1. 动量法应用NASA测试不同飞机机翼噪音

    %matplotlib inline from mxnet import nd import numpy as np from mxnet import autograd,gluon,init,nd ...

  2. 禁用U盘的两种方法

    方法一:注册表 计算机\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\USBSTOR 更改值为4即可,恢复时同理 ,重启即可 方法二:组策略

  3. .net mvc 路由

    Asp.net Mvc之Action如何传多个参数 在Global.asax文件中,默认路由如下. routes.MapRoute( "Default", // 路由名称 &quo ...

  4. Redis(RedisTemplate)运算、算法(incr、decr、increment)

    RedisTemplate配置:https://www.cnblogs.com/weibanggang/p/10188682.html package com.wbg.springRedis.test ...

  5. oracle 导入数据报600错误

    之前导入一个大容量dmp数据文件,报一个600错误,咨询网上的解决方法,按上面的处理一圈也没有整好,最后咨询组里一个大神,出现此错误 思路是,单个数据文件大小最大为32G,分析数据库后解决如下: 错误 ...

  6. Java中的IO流(四)

    上一篇<Java中的IO流(三)>把IO流中的文件及目录操作的对象File类记录了一下,本篇把本不属性IO流但又和IO流有关系的一个对象作一下记录,此对象本属于集合框架里的一个子集,即Pr ...

  7. 编译问题: "ld: duplicate symbol _OBJC_METACLASS_$_XXX..."

    在新的SDK环境中调试百度地图的应用程序时,app总是意外退出,找了半天发现错误的原因是unrecognized selector xx的错误,另外还有报了一个Unknown class XXX in ...

  8. [ZJOI2009]假期的宿舍(二分图匹配)

    题目描述 学校放假了 · · · · · · 有些同学回家了,而有些同学则有以前的好朋友来探访,那么住宿就是一个问题.比如 A 和 B 都是学校的学生,A 要回家,而 C 来看B,C 与 A 不认识. ...

  9. redis参数AOF参数的bug

    问题:redis 不想开启AOF了.但是还老是出现BGREWRITEAOF .(本redis版本为4.0.6) 涉及持久化参数设置如下: 排查及结果: 该redis以前开启过 AOF ,后来停止AOF ...

  10. 关于secureCRT的安装

    原文地址:https://www.cnblogs.com/yjd_hycf_space/p/7729796.html 安装该楼主的方式基本可以破解: 踩坑事项:1)可以选择自定义安装:然后将注册机复制 ...