Per le applicazioni intranet che già utilizzano Active Directory, c'è qualche punto o vantaggio nell'aggiungere un secondo livello di sicurezza come OAuth quando si accede ai servizi SOA REST? Siamo nuovi a SOA e REST e siamo abbastanza non guidati su come proteggere i nostri servizi.
Supponendo che tutti i tuoi account siano archiviati in Active Directory e solo AD e non accetti alcun account registrato presso un fornitore esterno, è difficile vedere ulteriori vantaggi semplicemente usando OAuth come protocollo per autenticare * utenti registrati su la tua pubblicità.
OAuth ha un caso d'uso diverso, è progettato per adattarsi agli scenari di federazione:
It allows users to share their private resources (e.g. photos, videos, contact lists) stored on one site with another site without having to hand out their credentials.
- Wikipedia
Nel tuo caso, non è necessario condividere le credenziali in primo luogo, dal momento che il computer client, l'applicazione server e gli account utente sono tutti registrati in AD per cominciare. SSPI (aka Autenticazione integrata di Windows ) probabilmente si adatta anche alle tue esigenze.
Ci sono alcuni aspetti negativi, però, nell'usare WIA / AD senza usare la scatola - per esempio, l'autenticazione utente trasparente (tramite WIA) può portare ad altri punti deboli, come CSRF (non lo causa direttamente, ma lo rende sicuramente molto più facile da sfruttare).
A seconda di come stavi pensando di implementare OAuth, questo potrebbe o meno aver mitigato questo problema. Indipendentemente da ciò, ci sono altre soluzioni migliori di OAuth (che ha le proprie complessità).
Ci sono anche possibili problemi di AD da considerare, tuttavia la soluzione proposta (OAuth + AD) non avrebbe comunque influito su questo.
Quindi, linea di fondo - non vedo alcun vantaggio nel mantenere OAuth lì dentro.
Se c'è un rischio specifico di cui sei preoccupato con WIA, ci sono probabilmente soluzioni migliori / più semplici.
Leggi altre domande sui tag rest authentication oauth wcf active-directory