基于声明的身份验证：字符串是声明的本质吗？

发布于 2024-09-04 08:15:06 字数 309 浏览 5 评论 0原文

我已经使用Windows Identity Foundation进行基于声明的身份验证编程已有一段时间了。

在我看来，在Windows Identity Foundation中，一旦用户登录，声明基本上就是描述用户的信息字符串。

使用旧的基于角色的身份验证，我可以说用户是或不是给定组的成员，但使用基于声明的身份验证，我现在可以拥有描述用户的信息字符串。 “该用户是女性”。该用户出生于“1975年7月6日”。 “该用户使用 USB 密钥登录”。

这是基于声明的身份验证的本质吗？我有框架向应用程序提供的有关用户的信息字符串吗？

需要登录才能够评论，你可以免费注册一个本站的账号。

≈。彩虹 2024-09-11 08:15:06

声明是有关与应用程序交互的主题的属性，可以是任何东西。您给出的所有例子基本上都是正确的。

这就是为什么您不仅可以将声明用于驾驶授权规则。例如，它们还可以代表用户个人资料信息。角色成员资格只是另一个属性（主要用于访问控制）。

几点观察：

一个微妙但非常重要的区别是声明是由受信任的权威实体（STS）发出的。主张的起源与主张本身一样重要。举个简单的例子：如果我向您发送一个由 Microsoft 的 STS 颁发的令牌，并声明“Title=Program Manager”，您可能会高度确定我是为 Microsoft 工作的 PM。换句话说，您获得的属性的保真度与您对发行人的信任程度之间存在相关性。
在 WIF 声明中，值被实现为“字符串”（如在 .NET 类型中），但它们可以是任何（可序列化）对象。对于角色、组、名称等简单的事情，您只需使用该值即可。对于其他更复杂的类型，您将需要某种反序列化。

~没有更多了~