【发布时间】:2017-01-03 00:22:35
【问题描述】:
我们已经在使用 CAS 对我们托管的多个 Web 应用程序进行单点登录。现在我们将在我们的网络中部署几个 HTTP/REST 服务,这些服务需要身份验证和授权。
将 CAS 与 OAuth 结合起来会不会是个好主意?
用户仍会使用 CAS 进行 SSO,但另外登录过程会发出 OAuth 票证,用于访问 REST 服务。
【问题讨论】:
【发布时间】:2017-01-03 00:22:35
【问题描述】:
REST 服务可以通过 CAS 代理身份验证进行保护。此外,它们可以与 OAuth 集成。 CAS 还提供 OAuth 和 OIDC 协议功能。
【讨论】:
这当然是有效的。 OAuth 2.0 没有指定/规定如何对用户(资源所有者)进行身份验证,而 CAS/SSO 对此很好。实际上,您将利用 CASified 授权服务器,以便资源所有者使用 CAS 向授权服务器进行身份验证,这“只是”CAS SSO 系统的应用程序。然后,授权服务器将向客户端发出访问令牌,以便客户端可以使用该访问令牌来访问受保护的资源,即 REST 服务。
【讨论】: