很多时候,我们进行应用程序之间的交互。比如,一个员工登录了门户网站后,需要访问进销存系统、CRM系统,如果不进行特殊处理,就需要多次输入用户名和密码。用过SharePoint的朋友,可能知道有个“单点登录”的东东是用来解决这个问题的。单点登录并不完美,其中之一就是它将用户名和密码存成明文,一个程序员可能很容易的获得某个用户的用户名和密码,这在涉密的软件中简直是致命的缺陷。
因此,人们开始重新思索一种更可靠,更实用的认证方式。这时,Claims认证闪亮登场了。其实,Claims认证早就出现了,大概已经有10年的历史了,但是一直没有发扬光大。这次可以说是老树发新芽,Claims认证迎来了第二春。
Claims认证很难解释清楚,甚至我都找不到一个合适的中文词语来翻译它。只好用一个比喻来说明。
在实行社保卡之前,我们去医院看病的时候,需要拿着身份证去办理一张就诊卡,办卡的工作人员校验完你的身份证以后,会将你的个人信息录入到卡里面。当你去找医生就诊的时候,医生扫描一下你的就诊卡,就知道了你的所有信息。这个就诊卡就相当于Claims认证中的token,里面的每条信息就是一个Claim.
这里的就诊卡具有两个特点:(1) 里面包含了认证过的信息,也就是说,医生看到这些信息以后,不需要再去看你的身份证进行验证。(2) 医生需要验证发行者,也就是读磁条的过程。医生一旦确认这个就诊卡是由办卡的工作人员签发的,就可以信任里面的信息。
以上两个特点就是Claims认证区别于其他认证方式的两点。
就诊卡对应Claims认证里面的token,就诊卡里面的每条信息对应Claims认证里面的claim.而办卡的工作人员就是token的发行者。
一个token里面包含用户名,用户email,用户的manager的email等信息。使用claims认证时,很难扩展上面的属性。这就像你使用医院的就诊卡时,上面应该包含什么信息,是由医院软件决定的,如果你自己想增加一个别的属性,必须去改变医院的软件,这通常是很难得。所以尽量使用当前token中包含的属性,不要奢望去使用里面不包含的属性。除非你是卫生部长或者医院院长:(
Claims认证中有一个很重要的角色“发行者(Issuer)”,对于上面的例子,医院就是cliaims token的发行者。如果在我们自己的应用程序中想要使用claims认证,下面的元素是必不可少的。
我们分析一下我们需要做的事情:一个是Application,就是我们的应用程序,在里面我们要解析Claims token,得到里面包含的信息,这个很容易做到,因为.net framework提供了一些标准的方法;另一个是Issuer,它的作用是验证用户,然后将用户的信息制作成security token发送给我们的Application,这个如果我们自己来做会相当复杂,幸运的是,微软提供了一个标准的Issuer的组件:ADFS.
ADFS存在于windows server 2008 R2企业版中,全称为Active Directory Federation Services (ADFS) 2.0. ADFS支持多种用户认证方式,比如Kerbos,form验证等,它还支持SQL语句,这样可以从自定义的SQL数据源中提取用户信息。
Claims认证的其中优点之一是:比如你有很多个用户具有相同的权限,那么对于这些用户,只需要根据他们的角色产生一个claims token,而没有必要产生很多个token,这就大大减少了Application需要处理的认证的数量。
Claims 认证的具体实施步骤:
1. 在你的Application中加入逻辑用以支持Claims.
其中包括验证来自Issuer的token和解析token以便获得Claims信息。Windows Identity Foundation (WIF) 提供了标准的API,这些API既可以在WCF中使用,也可以在ASP.NET程序中使用。使用WIF的方法很简单,只需要在你的程序中引入Microsoft.IdentityModel.dll就可以了,举一些例子:IsInRole, Identity.Name, Identity.Claims等等。
2。 构建一个Issuer。
这个使用ADFS就可以了。具体的配置步骤查看ADFS的文档即可。当然,你也可以使用WIF自己构建一个Issuer,那会非常的复杂。
3。 配置你的Application,使之信任你的Issuer。
这种信任关系式必须建立的,就像医生必须信任办就诊卡的人员一样。
这里的关键是一个叫做“集成元数据(federation metadata)”的概念,它是一个Xml文档,这个Xml文档由Issuer提供给你的Application, 包含Issuer的证书,Issuer提供给Application的信息列表,Application用来去获得token的Url和其他一些技术细节,你把它想象成就诊卡上的磁条好了。
WIF提供了一个标准的向导,可以自动根据这个Xml文档包含的元数据省生成你的Application的认证设置,你只需要提供给Issuer的Url,WIF会自动下载这些元数据并且配置你的Application.
4. 配置Issuer使它知道你的Application.
Issuer需要知道关于Application的如下信息:
WIF提供了一个工具edUtil.exe,可以用以生成一个元数据文档,所以你无需手动进行配置。
版权声明:本文原创发表于 博客园,作者为 今夜太冷
本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则视为侵权。