Se stai facendo questo per l'identità federata (macchina singola / persona che usa più servizi) quindi usa un sistema appositamente creato per questo.
L'identità federata è difficile da costruire correttamente e improbabile che sia abbastanza importante per la tua azienda da essere una competenza di base che giustifichi il corretto mantenimento.
Raccomando di utilizzare SAML 2.0 perché è ampiamente distribuito e supportato. Molte implementazioni (incluso Shibboleth / OpenSAML) sono state ampiamente testate a penna.
JWT è molto simile a SAML, ma è ancora in evoluzione e le incoerenze nelle implementazioni potrebbero rendere frustrante la distribuzione con successo.
Entrambi si basano su tecniche crittografiche valide e la loro implementazione sicura dipende fondamentalmente dall'efficace gestione delle chiavi. L'utilizzo di una singola chiave privata per la firma dell'asserzione SAML o dei token JWT per un periodo di tempo eccessivo, il volume di asserzioni / token o dopo sospetta compromissione di un sistema con accesso con chiave in chiaro compromette la sicurezza di tutti i servizi federati.