我正在使用SAML令牌通过将SAML令牌放在Authorization标头中来对一组REST-ful服务进行身份验证.
我找不到任何可以表明有一种标准方法可以做到这一点.例如,我使用:
Authorization: Bearer <EncryptedAssertion ...
要么:
Authorization: Bearer PEVuY3J5cHRlZEFzc2VydGlvbiAuLi4=
要么:
Authorization: SAML PEVuY3J5cHRlZEFzc2VydGlvbiAuLi4=
或者是其他东西?
请注意,如果证书具有多个名称组件,则第一个不起作用(因为逗号混淆了标头解析).
我使用'Bearer'的事实并没有说明令牌的格式.
Apache CXF似乎使用第三种变体.
哪一个是标准的?有标准吗?如果没有,是否有事实上的标准?
HTTP中自定义身份验证方案的标准在RFC 2617和7235中定义.
Authorization: scheme key="value", ...
我怀疑你的具体情况是否有标准,但我认为这是可以接受的:
Authorization: SAML bearer="PEVuY3J5cHRlZEFzc2VydGlvbiAuLi4="
| 归档时间: |
|
| 查看次数: |
5334 次 |
| 最近记录: |