使用共享领域或多个 STS 令牌

Question

目前我们正在开发（至少）两个不同的应用程序，它们将使用 STS 令牌进行访问控制。该应用程序是同一个 SOA 系统的一部分，并且将始终共存。

App1 由claimset1 保护，app2 由claimset2 保护。

由于特定领域需要 STS 令牌，我们可以选择任一

1. 合并 claimset1&2 并为两个应用程序使用相同的领域
2. 合并 claimset1&2 并为 app1 领域发布 app2 信任令牌
3. 让 app1 请求访问 app2 的令牌（代表使用）

对我来说，选项 1 最吸引人，因为我们只需要使用一个令牌。除了 STS 配置之外，如果还有其他注意事项，请您帮助我。

感谢您的宝贵时间。大卫

Answer 1

嗯，这取决于。如果 App1 需要代表调用 App1 的用户调用 App2，您应该选择选项 3。

如果 App1 和 App2 完全独立，您应该为每个应用请求单独的令牌，以防止用户使用他们为 app1 获得的令牌访问 app2 中的资源（令牌转发）。

如果两个应用程序不是真正独立的应用程序，我只会推荐它们使用相同的领域。如果可能的话，您需要为 app1 添加 app2 不应访问的声明（如敏感信息），不再能够区分这些应用。