關於SAML,OAuth的問題
[英]Questions about SAML, OAuth
問題描述
我正在一個項目中,以在系統中實現基於令牌的身份驗證。 我正在考慮使用SAML或OAuth。
我想知道是否可以在令牌內表示實際策略(基於系統的ACL)。 對於當前的設計,我正在考慮為用戶提供一個令牌,其中將包含所有資源和允許的角色。 根據用戶的請求,該服務檢查此令牌以查看用戶是否對所涉及的資源具有所需的權限。
是否可以使用SAML / OAuth令牌表示? 如果兩者都可行,則應在此處使用哪一個。 在我看到的大多數示例中,SAML用於SSO解決方案,而OAuth用於定義實際的授權策略。 但是,從演示/示例中尚不清楚,是否可以使用OAuth對特定資源進行限制性訪問。
例如,當某個Facebook應用想要使用OAuth訪問您的照片時,是否可以將訪問權限限制為僅特定專輯? 還是更像是全有還是全無。 我可以閱讀任何資源以獲得更多信息嗎?
1 個解決方案
解決方案1
1 已采納 2012-06-15 16:19:53
大多數體系結構(針對SAML和OAuth)都使用令牌,令牌中包含屬性,依賴方(或接收API)隨后根據屬性解釋並應用其自己的策略(ACL)。
對於OAuth,范圍用於指定訪問令牌所代表的權限。 范圍可以根據需要任意細化(以涵蓋單個相冊限制之類的情況)。 這些可能已由用戶在某些OAuth流程中授權。 OAuth 2.0規范中並未定義令牌本身-但您可以使格式獨立(可能由令牌發行者進行數字簽名),以便將范圍保留在其中。 一些模型使用不透明令牌,這些令牌需要通過回調(可能是反向通道)驗證給發行方,然后將范圍返回給依賴方。
在SAML中,出於類似目的,可以在斷言中顯示屬性語句。 依賴方解釋各個屬性,以確定用戶有權執行的操作。 屬性聲明可以作為SSO的一部分通過,也可以在稍后的某個時刻(通過身份驗證)通過AttributeQuery獲得。
關於使用OAuth使用自己的API的問題
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.