Estoy haciendo un estado del arte en seguridad de servicios web. Necesito todas las soluciones que solucionen las inquietudes relacionadas con la identificación, el control de acceso y las relacionadas con la transmisión, como la integridad de los datos, la protección, la no repudio ...
Así que busqué una solución del mundo real para satisfacer esas necesidades, encontré aquellas para servicios web basados en SOAP:
Identificación: WS-Security Framework
Autenticación: lenguaje de marcado de control de acceso extensible (XACML)
Autorización
- Lenguaje de marcado de derechos extensible (XrML)
- Administración de claves XML (XKMS)
- Lenguaje de marcado de aserción de seguridad (SAML)
- Pasaporte .NET
- Confidencialidad
- WS-Security Framework
- XML-Encryption
- Secure Sockets Layer (SSL)
- WSS
Y casi todos ellos se pueden implementar usando Spring-Security
Por otra parte, los servicios web RESTful tienen la reputación de ser menos seguros. Basarse en la web SSL / TLS es una excelente solución para el cifrado, pero existen otros protocolos de seguridad como:
- OAuth: utilizado por facebook, twitter, sin intercambio de tokens
- OpenID: utilizado por google
- CAS
- LDAP
- Kerberos
- Persona
- BrowerID
Otra solución puede ser integrar la seguridad en el bus de la empresa como un servicio (Seguridad como un servicio).
Entonces, mi pregunta es: ¿Hay alguna otra solución que deba conocer?