我是基于索赔的安全性的新手。我了解前提,但对令牌有一些疑问。
据我了解,令牌将对给定用户携带所有索赔,并且不同的系统将使用不同的索赔来确定对系统的授权。在这一点上,我有几个问题;
1)这是否意味着STS意识到所有系统的所有主张?这并不意味着令牌可以变成大小?还是代币仅根据要求身份验证的依赖方进行索赔?
2)应该利用索赔来确定对系统的细粒度访问,或者依靠期望维护单独跟踪权限的手段?
我有一个具有100个不同用户权限的系统。在尝试转向基于索赔的解决方案时,对我来说缺少的部分是,是否要由STS管理并在令牌中提供的所有权限?或者,我是否使用令牌来验证用户,然后自己管理权限?或者也许之间?
帮助和指导将不胜感激!
亲切的问候Themistry
1)使用ADF,每个RP都用一组索赔分别配置。因此,用户只会获得该RP的索赔。
2)/3)这是一个灰色区域。您可以将所有权限转移到索赔中。ADF允许从AD/LDAP/SQL Server发出索赔。ADF还允许您将AD属性映射到角色。我通常要做的是将所有基于角色的内容传递为主张,以便RP可以具有诸如" isInrole()"之类的代码,但将其余的留给RP来照顾。