基于声明的身份验证是否比基本身份验证更安全？

Question

我一直是服务领域的开发人员，使用基本身份验证（与 SSL 结合使用以保护传输）或使用基于声明的身份验证（在 .NET 中使用 WIF）。

我认为根据构成不同身份验证机制的整体强度因素，这个问题有一个明确的答案。这不是基本身份验证的简单性与 CBA 拥有 SSO 和集中式身份验证存储的能力的比较。

我听到的反对基本身份验证的论点是，您无法真正识别用户是他们所说的身份。如果凭据被泄露，则可能会被欺骗。显然对于 CBA，签署 SAML 令牌以保证发行和身份使得这是一种更彻底的授权方法？但是，如果我无论如何都拥有用户的凭据，我还不能通过 CBA 进入服务吗？

这是真的吗？CBA 是一种更彻底、更安全的用户身份验证方法？谢谢！

Answer 1

CBA 可能更安全，但这取决于 IDP 端的配置。如果 IDP 只需要用户名和密码来颁发令牌，那么由于您解释的原因，它似乎并不更安全。

我将在此处使用 AD FS 作为 IDP，以说明它如何比仅进行基本身份验证更安全。 ADFS 可以配置为禁用不安全的端点。您还可以将 AD FS 配置为在发出声明之前执行基于 2FA 或 MFA 的身份验证。在这些情况下，因为获取声明更难，而且如果应用程序只能由 CBA 访问，它确实会变得更安全。

CBA 的优势不仅仅是可以强制执行的更安全的身份验证方法。它对开发人员的好处在于通过将用户属性卸载到 IDP 来简化获取用户属性。我相信您已经知道这一点，但对于此线程的未来读者，“ Claims Based Identity & Access Control Guide" 可能是一本好书。