如何使用Restful服务调用进行单点登录(SSO)

Question

我有一个网站，用户必须通过单点登录(SAML SSO)才能访问该网站。网站有一个GUI，用户可以在其中输入信息并发送到服务器。

现在，我正在构建一些图形用户界面( RESTful )调用。调用的URL如下所示：https://example.com/api/do-work。此资源是一个python脚本。

但是，还没有为这些调用设置身份验证，我希望通过SSO进行设置。

我正在考虑通过linux命令行和curl命令执行此操作的选项。curl命令将通过data标志包含SSO所需的所有数据，如下所示：

curl --data "name=Bob&id=123456" https://example.com/api/do-work

然后，在python脚本中，我将构建SAML SSO请求。如果用户的详细信息有效，我将向用户返回结果，否则告诉他们他们的凭据有问题。

这是对RESTful调用进行单点登录的正确方式吗？

我也一直在考虑将JSON Web令牌(JWT)作为一种可能的解决方案。

Answer 1

SAML2.0令牌很难通过RESTful请求发送，而且处理起来也相当复杂。对于RESTful调用，JWT token更合适。通常，请求包含JWT令牌作为承载令牌。一个例子是JWT Token in POSTMAN Header，它可以使用Curl来实现。