软件开发人员不将授权外部化有什么原因吗？

Question

外部化身份的价值主张开始增加，许多站点现在接受 OpenID、CardSpace 或联合身份。 然而，许多开发人员尚未采取下一步行动来外部化基于 XACML 的授权和使用方法。

原因是缺乏认识还是其他原因？ 您希望如何了解基于XACML的软件开发方法？

请注意，我询问的是授权，而不是身份验证。

Answer 1

我认为外部化授权的前景比外部化身份验证（OpenID、CardSpace 等）困难得多。 这主要是因为授权更加特定于应用程序。 A 被授权在我的应用程序中执行的操作可能无法在您的应用程序中执行，甚至假设我的应用程序和您的应用程序之间存在一些共同的相似之处，但很可能不会存在。

我不想说外部化授权永远会被完成，但说实话，我很难想出为什么你真的想这样做。 也许对于一组并行工作的应用程序来说，但同样，这很可能是内部支持，而不是外部支持。

Answer 2

另外，请记住授权！==身份验证。 仅仅因为用户经过身份验证并不意味着您已经解决了站点的授权部分。 您仍然需要确定谁可以在何时做什么。

Answer 3

我们继续推出自己的主要原因是像 openid 等选项似乎只受到技术网站的支持。 我们是一个规模较小的参与者，因此在用户接受度更高之前我们不会开始使用外部提供商。

我们不希望用户在我们网站上要做的第一件事就是访问另一个网站。

Answer 4

我似乎陷入了其他人的误解 - 问题是关于外部授权的。 就我个人而言，我只信任本地网络上的分布式授权，在本地网络上我可以控制身份验证和授权服务器。 我永远不会在网站上使用外部授权。

以下是我对 OpenID 作为身份验证服务的评论。

1）正如所指出的，授权！=身份验证。 OpenID 处理身份验证，但 Web 应用程序所有者仍然可以完全控制分配给该登录的权限。 这是积极的一面，但对此的困惑是消极的。

2）我找不到链接，但OpenID对社会工程/中间主要/网络钓鱼攻击开放。 提供商试图阻止这种情况（ID 图像、浏览器证书、回调验证等），但当黑帽网站弹出一个对话框/页面显示“输入您的 OpenID 用户名和密码”并且天才时，这并没有帮助。用户遵守。

3) 联合 ID 的每个提供商都有能力（有些人会说有责任）跟踪其用户的所有活动，无论他们将该 ID 用于哪个网站。 这就是为什么 Google 和 Yahoo 热衷于提供联合 ID，但对使用它们却不太感兴趣。

4) 与上述评论相反，通常的情况是使用 OpenID 减少了注册障碍，特别是当有用的 UI 指出新用户可能已经拥有 OpenID 时。 当您使用组合的 OpenID / OAuth 解决方案（例如 RPX）时，情况更是如此。

因此，从我的角度来看，使用 OpenID 的风险在于用户，而不是网站。 我无法通过让用户尝试记住另一个用户 ID 和密码来防止用户被钓鱼。 密码。 此外，黑帽不需要做任何比以纯文本形式存储其网站的用户密码更邪恶的事情来访问用户的其他帐户。 有多少人在登录的每个网站上使用不同的密码？

Answer 5

我所做的大多数项目都是在大公司内使用的专有应用程序，在这些情况下，外部身份验证服务很少是一种选择，而是由某些内部服务（例如 Active Directory）处理身份验证。

如果我碰巧成为一个构建公共网站的项目的一部分，我肯定会尝试使用 OpenID 之类的东西，而不是托管我自己的身份验证。

Answer 6

一个问题是“Not Invented Here”和对外部权威（甚至是假名）身份的不信任的某种结合。 一篇很好的文章在这里：

• Do您信任您的身份提供商吗？

另外，我认为这可能是惯性。 如果没有杀手级应用程序为其提供支持，人们的迁移速度就会很慢。 鉴于我最近看到的 Facebook 集成数量的增加，我认为我们正处于陡峭斜坡的顶部，即将进入那个世界。

Answer 7

正如另一位发帖者所指出的，授权通常是特定于应用程序的。 您在一个应用程序中可以执行的操作与在另一个应用程序中可以执行的操作有很大不同。 特别是在客户现成的应用程序中，授权通常更自然地由应用程序处理。

性能是另一个问题。 这可以通过获取 Sun 的 XACML 实现并使用它来外部化一些授权来看出。 您在请求双方产生的网络成本（取决于您构建请求/响应等的方式）可能远远超过授权决策的实际成本。 将其构建到 COTS 应用程序中，在其中性能优化的自由度较小，情况会变得更糟。

然而，我认为一些有前途的领域是围绕监管合规性的。 有些授权不会因应用程序而异。 例如，专有或机密信息或材料的传输。 在这些情况下，可以为每个应用程序中存在的相同控件提供强有力的理由，因为相反的情况非常糟糕。 对于相同的访问控制拥有任意数量的实现和规则是管理的噩梦。 使用 XACML 等控制框架的一个简单方法可能是从某人可以看到的内容开始，然后确定某人可以做什么。

Answer 8

我认为这取决于您从事的项目类型。 如果客户想要存储授权，则无法使用 OpenID...我使用 google apps 引擎开发一个小项目，因此我使用 google 进行授权。 因此，这在很大程度上取决于项目的类型。

Answer 9

有几个原因：

1. 正如一些评论所表明的那样，人们普遍认为“授权是本地的”，这意味着重复使用维护高质量所需的昂贵的“主题属性”几乎没有潜力。重要的访问决策。 （我相信，由于某些法律/法规广泛适用，因此存在很高的重用潜力，但是对于这种格式来说，对此进行全面讨论太长了。）
2. 缺乏数据基础设施：在组织之间应用基于策略的访问控制（我使用/信任某些其他组织的授权（“AuthZ”）数据来解锁对我的数据的访问）至少要求我了解该属性的语义（什么是“执法人员”？什么是“美国公民”。 ）之后，如果能有易于理解的属性质量标准和第三方认证就好了。 （有些人可能会发现，这些要求类似于 PKI 互操作性的要求：这是怎么回事？这只是针对一项数据，加上支持内容。）
3. 对角色/职责的影响：外部化授权，无论是“角色”还是“角色” “属性”或“具有数字策略的属性”意味着本地“数据所有者”失去了对资源的控制。 他还卸下了维护用户列表的大量工作和责任。 这种变化将外部 AuthZ 的实施从技术问题提升为具有政治方面的组织问题。
4. 大多数组织不知道也没有写下他们的政策是什么。 访问权限可能是“任何人提出要求”或“任何人提出要求并且我喜欢”或“任何人可以给我一些东西，例如访问他们的数据”。 当通过以政策语言表达它们而被迫公开时，所应用的真正规则可能会非常丑陋。 将书面政策良好地转化为数字政策的技能也不是从树上长出来的。 事实上，所需的技能是业务分析师或律师，而不是 IT 人员，而为这些人提供的工具很少甚至不存在。
5. 当您确实拥有可靠的策略规则时，您可能会发现处理它所需的属性并不存在——它们通常不是您在 AD 中找到的那种东西。 电话号码作为 AuthZ 属性没有用处，甚至“组织”也可能不适合您实际记录的大多数法律或法规。 这甚至没有提到您必须实施（并获得批准）以表达“可能的原因”等政策要求的解决方法和近似方法。
6. 相对容易处理但仍然真实的是，许多非常普遍的 COTS 应用程序不支持外部授权，并且许多应用程序开发人员不习惯进行外部化，因此会 (a) 试图说服您放弃它； (b) 花点钱学，但学得不好。

---

听起来很糟糕，对吧？ 所以，最后我想说的是，尽管如此，我认为这款游戏还是得不偿失的。 潜在好处的清单将在其他时间发布另一篇文章。

祝你好运！

Answer 10

同意约瑟夫关于授权高度针对应用程序的观点。

但除此之外，外包授权还带来了一个重大风险问题：由于授权具有高度的应用特定性和粒度，一旦将授权外部化给服务提供商，迁移或替换该提供商几乎是不可能的任务。 你已经无可挽回地陷入困境了。

因此，在评估您的风险和收益时，商业推理会促使您避免如此严重的依赖。

Answer 11

对于我个人来说，这是我第一次听说外部授权。
所以可能只是缺乏意识。

现在谷歌搜索..