SAML 与护照的处理方式大致相同。您首先在您自己的国家(主要 IdP 提供者)申请护照(身份注册)。您所在国家/地区对您如何接收该护照(SAML 令牌)有当地法规。一旦您收到护照(SAML 令牌),您就是您所在国家/地区的经过身份验证的公民。然后,您可以前往世界上任何其他国家。大多数国家确实承认的不仅仅是接受护照。您访问的一些国家/地区接受您的护照,就像基本的 SAML 断言一样。其他国家在接受时需要更多信息,例如护照和签证,这是对 SAML 断言的更复杂的接受。有一种标准化的方法来接受您是谁的身份验证,从而设计出 SAML 断言的表示方式。一旦你被另一个国家接受,他们就不需要管理你的护照。您仍然需要随身携带护照。与 SAML 断言非常相似,它是可接受的用户属性或权限数量。
我正在尝试使用这个比喻来理解 OAuth。如果 SAML Token 是 Passport,那么 OAuth Bearer Token 是什么?
【问题讨论】:
我最近一直在尝试将 Bar Writstband 比喻为 Oauth Bearer 令牌...
简单场景:令牌作为授权会话的代理 您出示由前面的保镖验证的驾驶执照(授予类型)。一旦他确定它不是伪造的或被盗的并且您已达到法定饮酒年龄(授权),他会给您一个腕带,让您当晚佩戴以进入酒吧。明天晚上你需要一个不同的腕带。
扩展场景:令牌也有范围限制 酒吧为所有年龄段的人服务,因此在接受您的凭据后,您会得到一个腕带,指示您是否可以点酒或只点苏打水。一个非常酷的酒吧可能会让你有一个“指定司机”的腕带,你可以整晚获得免费的非酒精饮料。
在这两种情况下,您只需出示一次凭证即可获得腕带。之后,由于您佩戴了腕带,因此您可以进入酒吧。
【讨论】:
OAuth 的目的是“授权委托”(不同于身份验证),规范的 OAuth 比较是 valet key。
代客钥匙通常可以解锁驾驶员侧车门并启动 汽车,但无法解锁后备箱或手套箱。这个键一般 当其他人操作您的车辆时使用,例如代客泊车 服务员。
这迎合了“范围”令牌可以发布给第 3 方的事实,以便现在第 3 方可以代表所谓的资源所有者访问资源。
FWIW:将 SAML 与护照进行比较并不完全正确,因为 SAML 令牌也适用于特定的服务提供商(在您的示例中为国家/地区)。
【讨论】: