Web services 基于声明的系统到系统web服务身份验证

我正在做一些关于在两个不同组织的系统之间开发web服务的初步思考

（WCF/WIF将用于开发）

ADFS可在两端使用

我很想了解关于使用基于声明的身份验证是否适合system 2系统集成的想法

有人有什么经验可以分享吗

例如，使用基于ADFS/claims的身份验证web服务将要求消费系统在IdP STS、RP STS等周围采用标准路由，以获得必要的令牌，以便与端点进行身份验证并消费服务。系统2可以吗？我知道这只会在消费系统第一次获得必要的令牌时发生，然后他们将能够直接消费服务（没有额外的跃点），直到到期或需要新的令牌

---

关于系统A使用来自系统B的基于声明的web服务，并在第一次进行相应身份验证时增加完整往返的额外开销，您有什么想法吗？

显然，通过消除为其他组织的用户创建用户帐户的需要，可以获得系统A的最大优势

在您的情况下，由于这是一种服务对服务的通信，因此此优势不适用。您可以使用客户端id和应用程序密钥之类的东西来与其他服务进行身份验证

我看到的使用联邦身份验证的唯一优势是，在这种情况下，您可以消除安全存储应用程序密钥的需要。如果您的服务使用集成Windows身份验证（）从IdP STS获取令牌，并使用该令牌从RP STS获取令牌，则无需在任何地方存储任何机密

您将主要使用基于声明的令牌进行身份验证，因为运行服务的帐户不会更改