声明与 OAuth 之间的区别

Question

基于声明的身份验证与 OAuth 提供的身份验证之间有什么区别。

我正在寻找概念差异而不是技术差异。我什么时候选择声明而不是 OAuth，反之亦然。

基于声明的身份验证由 Microsoft 提出并构建在 WS-Security 之上。但 OAuth 更多的是一个开源协议，它被提议允许基于安全令牌从不同的门户获取资源。

声明也有令牌的概念（SAML 编码或 X509 证书）。

我试图了解什么时候应该选择声明而不是 OAuth，反之亦然。

谢谢

Answer 1

基于声明的身份是一种将应用程序代码与身份协议（例如 SAML、Kerberos、WS-Security 等）细节分离的方法。它不仅适用于 Web 应用程序，而且是作为名为 WIF 的 .NET 库/框架实现的。

OAuth 是一种特定协议，一个网站可以通过该协议获得用户同意访问另一个网站上的私人数据。

事实并非如此，您必须选择其中之一，事实上它们是互补的。如果您正在构建一个通过 WIF 执行 OAuth 的 .NET Web 应用程序，那么您可能可以同时使用两者。