在RESTful服务中使用SAML令牌是否有标准？

我使用SAML令牌对一组REST-ful服务进行身份验证，方法是将SAML令牌放在

授权

头中

我找不到任何东西表明有一种标准的方法可以做到这一点。例如，我是否使用：

Authorization: Bearer <EncryptedAssertion ...

或：

还是别的什么

请注意，如果证书有多个名称组件，则第一个组件不起作用（因为逗号会弄乱标头解析）

事实上，我使用的“Bearer”并没有说明令牌的格式

apachecxf似乎使用了第三种变体

---

哪一个是标准的？有标准吗？如果没有，是否存在事实上的标准？

HTTP中自定义身份验证方案的标准在RFCs 2617和7235中定义

Authorization: scheme key="value", ...

我怀疑你的具体案例是否有标准，但我认为这是可以接受的：

Authorization: SAML bearer="PEVuY3J5cHRlZEFzc2VydGlvbiAuLi4="

---

在对这个主题进行了大量研究之后，我找不到任何标准来定义如何在授权头中使用SAML令牌

但是，CXF是一个非常著名的Web服务堆栈，其方式如下：

Authorization: SAML eJydV1m....9fYTCPr=

OAuth2还定义了如何使用SAML令牌进行身份验证以接收OAuth2访问令牌，然后该令牌可用于调用另一个REST服务（）

---

很好的预测，因为这并不明显。解释：RFC 2616指定

授权：凭证

，RFC 2617指定

凭证=身份验证方案#身份验证参数

和

身份验证参数=令牌“=”（令牌|带引号的字符串）

。由于RFC2617是关于基本/摘要身份验证的，因此很容易忽略第1.2节，其中指定了这些内容。对于RFC7522，您是否看到了一些实用的代码/示例/属性内容示例等？邮递谢谢。

Authorization: SAML bearer="PEVuY3J5cHRlZEFzc2VydGlvbiAuLi4="

Authorization: SAML eJydV1m....9fYTCPr=

POST /token.oauth2 HTTP/1.1
Host: as.example.com
Content-Type: application/x-www-form-urlencoded

grant_type=urn%3Aietf%3Aparams%3Aoauth%3Agrant-type%3Asaml2-bearer&
assertion=PHNhbWxwOl...[omitted for brevity]...ZT4