SAML与护照的处理方式大致相同。您首先在您自己的国家(主要IdP提供商)申请护照(身份登记)。您所在的国家/地区对您如何获得该护照(SAML令牌)有当地法规。一旦您收到护照(SAML令牌),您就是您所在国家/地区的经过身份验证的公民。然后,您可以前往世界上任何其他国家。大多数国家不仅承认接受护照。您访问的某些国家/地区接受您的护照,就像基本的SAML断言一样。其他国家在接受信息时需要更多信息,例如护照和签证,这是对SAML断言更为复杂的接受。有一种标准化的方法来接受对您的身份的认证,从而导致设计SAML断言的方式。一旦您被其他国家接受,他们就不需要管理您的护照。您仍需携带护照。与SAML断言大致相同,它是可接受的用户属性或权限数量。
我试图用这个比喻来理解OAuth。如果SAML令牌是Passport,那么OAuth承载令牌是什么?
答案 0 :(得分:1)
我最近一直试用Oauth Bearer令牌的Bar Writstband的比喻...
简单场景:令牌作为授权会话的代理 您出示由前面的保镖验证的驾驶执照(补助类型)。一旦他确定它没有伪造或被盗,并且您已达到法定饮酒年龄(授权),他会在当晚为您提供佩戴腕带以便进入酒吧。你明天晚上需要一个不同的腕带。
扩展方案:具有范围限制的标记 酒吧适合所有年龄段,因此在接受您的凭证后,您将获得一个腕带,表明您是否可以订购酒精或仅使用苏打水。一个非常酷的酒吧可能会让你有一个指定的驱动程序"腕带,你可以整晚享用免费的非酒精饮料。
在这两种情况下,您只需要一次凭证即可获得腕带。之后,您可以进入酒吧,因为您带有腕带。
答案 1 :(得分:0)
OAuth的目的是"授权授权" (与身份验证不同)和规范的OAuth比较是valet key。
代客钥匙通常可以解锁司机的侧门并启动 汽车,但不能解锁后备箱或手套箱。这个键通常是 当其他人操作您的车辆时使用,例如代客泊车 话务员。
这适用于"范围"令牌可以发给第三方,以便现在第三方可以代表所谓的资源所有者访问资源。
FWIW:将SAML与护照进行比较并不完全正确,因为SAML令牌的范围也限定在特定的服务提供商(示例中的国家/地区)。