0

私はしばらくの間、WindowsIdentityFoundationを使用してクレームベースの認証を使用してプログラミングしてきまし

Windows Identity Foundationでは、ユーザーがログインすると、クレームは基本的にユーザーを説明する一連の情報であるように見えます。

以前の役割ベースの認証では、ユーザーは特定のグループのメンバーであるかどうかを判断できましたが、クレームベースの認証では、ユーザーを説明する一連の情報を取得できるようになりました。「このユーザーは女性です」。このユーザーは「1975年7月6日」に生まれました。「このユーザーはUSBキーを使用してログインしました」。

フレームワークによってアプリケーションに与えられたユーザーに関する一連の情報を持っているのは、クレームベースの認証の本質ですか?

4

1 に答える 1

3

クレームは、アプリケーションと相互作用するサブジェクトに関する属性であり、何でもかまいません。あなたが与えたすべての例は本質的に正しいです。

そのため、承認ルールを推進するだけでなく、クレームを使用することができます。たとえば、ユーザープロファイル情報を表すこともできます。また、ロールメンバーシップは単なる別の属性です(これは主にアクセス制御に使用されます)。

カップルの観察:

  • 微妙ですが非常に重要な違いの1つは、クレームが信頼できる信頼できるエンティティ(STS)によって発行されることです。クレームの出所は、クレーム自体と同じくらい重要です。簡単な例を使用すると、MicrosoftのSTSによって発行されたトークンを「Title = ProgramManager」というクレームとともに送信すると、私がMicrosoftで働いているPMであることが確実になります。言い換えれば、取得する属性の忠実度と発行者に対する信頼のレベルの間には相関関係があります。
  • WIFクレームでは、値は(.NETタイプのように)「文字列」として実装されますが、任意の(シリアル化可能な)オブジェクトにすることができます。ロール、グループ、名前などの単純なものには、値を使用するだけです。他のより複雑なタイプの場合は、ある種の逆シリアル化が必要になります。
于 2010-06-09T18:24:05.337 に答える