如果我将由受信任的 IdP 颁发的身份令牌发送到 javaScript 代码以便在调用具有身份验证的 Web 方法时使用它,是否有任何问题?
无论令牌是否加密,这样做是否有任何安全问题!
在我的例子中,有一个 Web 应用程序要求 IdP 对用户进行身份验证。我正在使用带有 Ws2007FederationBinding 的 WCF Web 服务来发送安全令牌。当我从服务器调用服务时一切都很好,但现在我如何使用 JavaScript 从客户端使用它呢?
【问题讨论】:
标签: security authentication claims-based-identity federated-identity
我不熟悉 Ws2007FederationBinding。考虑到您需要从客户端进行调用,我认为将该令牌嵌入客户端没有问题。
我相信当您需要使用外部 API 并且您有某种与您的服务相关联的“身份验证”令牌时也是如此。
【讨论】:
Ws2007FederationBinding 是一个 SOAP 绑定,在信封中带有 SAML 安全令牌。 非常很难从 JavaScript 调用使用此绑定的服务。
此绑定要求客户端与 STS 对话以获取 SAML 令牌并证明它是该令牌(密钥持有者)对服务(依赖方)的请求者。这涉及在 JavaScript 中难以完成的加密操作。
解决此问题的“最佳”方法是创建 JavaScript 层与之通信的 RESTful 代理服务,并让此 REST 服务与 SOAP 后端服务通信。在调用 SOAP 服务之前,您应该使用不记名令牌 (JWT) 保护 REST 服务并将其交换为 SAML 令牌。
您可以使用 .NET 中的 JWT token handler 类在 JWT 和 SAML 之间进行转换。
【讨论】: