Есть ли проблемы с безопасностью, если я отправил маркер безопасности, выпущенный из доверенного IdP, в javaScript?

Question

Есть ли проблемы, если я отправил токен идентификации, который был выпущен из доверенного IdP, в код javaScript, чтобы использовать его при вызове веб-метода с аутентификацией?

Есть ли проблемы безопасности в том, что ли токен зашифрован или нет!

В моем случае есть веб-приложение, которое просит IdP аутентифицировать пользователей. Я использую веб-службу WCF с Ws2007FederationBinding, чтобы отправить токен безопасности. Все нормально, когда я вызываю службу с сервера, но теперь, как я могу ее использовать с клиентской стороны, используя JavaScript?

Answer 1

Я не знаком с Ws2007FederationBinding. Учитывая, что вам нужно делать вызовы со стороны клиента, я не вижу проблемы с вложением этого токена в клиент.

Я считаю, что это так же, когда вам нужно использовать внешний API, и у вас есть какой-то токен «auth», связанный с вашим сервисом.

Answer 2

Ws2007FederationBinding является связующим звеном SOAP с маркером безопасности SAML в конверте. Это будет очень сложно назвать услугу с этой привязкой с JavaScript.

Это обязательное требование требует, чтобы клиент разговаривал с STS, чтобы получить токен SAML и доказать, что он был инициатором этого токена (держателя ключа) для службы (полагающейся стороны). Это включает криптографические операции, которые трудно выполнить в JavaScript.

«Лучшим» способом решения этой проблемы является создание прокси-служб RESTful, с которыми говорит ваш уровень JavaScript, и эта служба REST говорит о бэкэнд-сервисах SOAP. Вы должны закрепить сервисы REST маркером-носителем (JWT) и обменять его на токен SAML перед вызовом службы SOAP.

Вы можете использовать класс JWT token handler в .NET для перевода между JWT и SAML.