因此,我们将开发我们的SSO,它将用于多个Web应用程序中的身份验证,以便用户在登录任何这些应用程序时可以使用一个帐户。
我们讨论了是否应该在 SSO 中包含授权,或者每个应用程序都应该单独存储授权(角色/权限(。
以下是一些需要考虑的品脱:
- 授权不在应用程序之间共享,每个应用程序都有 一组不同的角色和权限,以防万一我们要 将角色存储在 SSO 中,必须按应用程序完成。
- 如果我们要在 SSO 中存储用户角色/权限,我们需要设置 API 端 点以获取这些数据或将它们同步到每个应用程序?
- 集中授权被认为是积极的还是消极的?
没有基于标准的方法可以使用标准化的 SSO 协议提供授权信息。SSO 协议允许提供有关身份的一些信息。您仍然可以提供一些"权利字符串">
标准化的授权协议将是XACML。
同意,它有点复杂,但允许您在不更改应用程序的情况下替换集中式授权服务。
就个人而言,我会尝试使用基于标准的方法,因为它也可以保护您免受供应商锁定。 就个人而言,我也会使用集中式方法,因为每个应用程序的"客户端代码"都是相似的,并且管理可能更容易。