Múltiples capas de seguridad para servicios de intranet SOA REST

2

Para las aplicaciones de intranet que ya utilizan Active Directory, ¿hay algún punto o beneficio para agregar una segunda capa de seguridad como OAuth al acceder a los servicios REST de SOA? Somos nuevos en SOA y REST y no estamos muy orientados en cuanto a cómo asegurar nuestros servicios.

    
pregunta KodeKreachor 25.03.2012 - 22:17
fuente

1 respuesta

3

Suponiendo que todas sus cuentas están almacenadas en Active Directory, y solo AD, y no aceptará ninguna cuenta registrada en un proveedor externo, es difícil ver el beneficio adicional de simplemente usar OAuth únicamente como el protocolo para autenticar * a los usuarios registrados en su anuncio.

OAuth tiene un caso de uso diferente, está diseñado para ajustarse a los escenarios de federación:

  

Permite a los usuarios compartir sus recursos privados (por ejemplo, fotos, videos, listas de contactos) almacenados en un sitio con otro sitio sin tener que entregar sus credenciales.
  - Wikipedia

En su caso, no es necesario compartir las credenciales en primer lugar, ya que la máquina cliente, la aplicación del servidor y las cuentas de usuario están registradas en AD para empezar. SSPI (también conocida como autenticación integrada de Windows ) probablemente se ajustaría a tus necesidades también.

Sin embargo, hay algunas desventajas en el uso de WIA / AD fuera de la caja. Por un lado, tener una autenticación de usuario transparente (a través de WIA) puede llevar a otras debilidades, como CSRF (no lo causa directamente, pero definitivamente hace que sea mucho más fácil de explotar).
Dependiendo de cómo pensaba implementar OAuth, esto puede o no haber mitigado este problema. En cualquier caso, hay otras soluciones mejores que OAuth (que tienen sus propias complejidades).
También hay posibles problemas de AD a considerar, sin embargo, su solución propuesta (OAuth + AD) no habría afectado esto de todos modos.

Por lo tanto, resultado final: no veo ningún beneficio en mantener a OAuth allí.
Si existe un riesgo específico que le preocupa con WIA, probablemente haya soluciones mejores / más fáciles.

    
respondido por el AviD 25.03.2012 - 23:53
fuente

Lea otras preguntas en las etiquetas