This is something I&#39;ve been thinking about actually. A small side project I&#39;m working on during the late hours of the evening is going to be doing something like this. My current line of thinking is to authenticate once and pass back a token then double check the token and IP address with each request and have a server side timeout for their authorized session. I know it&#39;s not the same as what you&#39;re talking about, but I couldn&#39;t come up with anything good to stop spoofing a valid token and also enforcing a time limit to a secure session. <div class="gmail_extra">

<br><br><div class="gmail_quote">On Wed, Nov 7, 2012 at 8:53 AM, Anil Saldhana <span dir="ltr">&lt;<a href="mailto:Anil.Saldhana@redhat.com" target="_blank">Anil.Saldhana@redhat.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Hi All,<br>
   this is an issue I see more at a client (in the classic client/server<br>
paradigm) that the computing industry is moving toward.<br>
<br>
With the increasing push towards mobility, cloud and REST<br>
architectures,  I think access control decisions may have to be made<br>
where a decision is needed.  So instead of making 100 authorization<br>
calls to the server, we need a model where one call is made to the<br>
server (given user, context etc) and we get back a set of entitlements<br>
(or permissions) that need to be applied at the client side.<br>
<br>
Examples include a mobile client (such as banking) that needs to figure<br>
out what aspects of the mobile screen the user is entitled to see and<br>
what operations he is capable of performing.<br>
<br>
The industry has put too much emphasis on the enforcement model<br>
(meaning, make 100 authorization calls to the glorified server). There<br>
has been almost no models for the entitlement approach.<br>
<br>
I have prototyped something here:<br>
<a href="https://docs.jboss.org/author/display/SECURITY/EntitlementsManager" target="_blank">https://docs.jboss.org/author/display/SECURITY/EntitlementsManager</a><br>
<br>
The entitlements should be sent in a JSON response.<br>
<br>
Also, trying to get this standardized in the industry via the OASIS<br>
Cloud Authorization TC.<br>
<a href="https://lists.oasis-open.org/archives/oasis-charter-discuss/201210/msg00003.html" target="_blank">https://lists.oasis-open.org/archives/oasis-charter-discuss/201210/msg00003.html</a><br>
<br>
I have a hunch that projects such as Aerogear, Drools, Errai and<br>
Infinispan may need this model.<br>
<br>
Thoughts?<br>
<br>
Regards,<br>
Anil<br>
_______________________________________________<br>
security-dev mailing list<br>
<a href="mailto:security-dev@lists.jboss.org">security-dev@lists.jboss.org</a><br>
<a href="https://lists.jboss.org/mailman/listinfo/security-dev" target="_blank">https://lists.jboss.org/mailman/listinfo/security-dev</a><br>
</blockquote></div><br><br clear="all"><div><br></div>-- <br>Jason Porter<br><a href="http://lightguard-jp.blogspot.com" target="_blank">http://lightguard-jp.blogspot.com</a><br><a href="http://twitter.com/lightguardjp" target="_blank">http://twitter.com/lightguardjp</a><br>

<br>Software Engineer<br>Open Source Advocate<br><br>PGP key id: 926CCFF5<br>PGP key available at: <a href="http://keyserver.net" target="_blank">keyserver.net</a>, <a href="http://pgp.mit.edu" target="_blank">pgp.mit.edu</a><br>


</div>