我们不能使用 SAML 来保护微服务吗?
Can't we use SAML for securing microservices?
目前,Oauth2 正在成为微服务生态系统安全模块的事实。
为什么我们不能用 SAML(或与此相关的任何其他 SSO)和 JWT 替换 Oauth 具有 SAML 断言(或 SSO 的等效数据)?
是因为 Oauth2 的简单性让我们选择了它,还是有其他原因不使用 SSO 代替 Oauth 进行微服务身份验证和授权。
主要原因是 SAML 和 WS-Fed 通常依赖浏览器重定向来运行。
OAuth 是简单的 REST。
也就是说,如果 IDP 允许,您可以使用 SAML 进行身份验证,获取 SAML 令牌,请求等效的 JWT 令牌,然后将其用于 API。
目前,Oauth2 正在成为微服务生态系统安全模块的事实。
为什么我们不能用 SAML(或与此相关的任何其他 SSO)和 JWT 替换 Oauth 具有 SAML 断言(或 SSO 的等效数据)?
是因为 Oauth2 的简单性让我们选择了它,还是有其他原因不使用 SSO 代替 Oauth 进行微服务身份验证和授权。
主要原因是 SAML 和 WS-Fed 通常依赖浏览器重定向来运行。
OAuth 是简单的 REST。
也就是说,如果 IDP 允许,您可以使用 SAML 进行身份验证,获取 SAML 令牌,请求等效的 JWT 令牌,然后将其用于 API。