WIF基本原理(1)标识库

WIF基本原理(1)标识库

WIF是一个开发框架,该框架集成基于标识安全模型和方案以及实现细节。WIF们带来好处主要有三点:

q  基于声明标识处理方式。

q  使业务逻辑与认证、授权彻底分离。

q  可供学习和扩展安全架构。

本系列主要探讨它基本原理,从中学习构建一个安全框架基本要素和方法。重要是从它基本原理,解标识安全普遍术语和技术模型。

标识库

对于某些应用程序,使用用户标识非常简单。以一个 Windows应用程序为例,它仅供单个组织中用户访问而无需过多解用户信息。此应用程序可仅依靠 Kerberos来对其用户进行身份验证,并传达有关基本信息。以仅供Internet用户访问应用程序为例,此应用程序可仅要求每个用户提供用户名和密码,并将此用户信息存储在数据库中。

但是,对于大多数应用程序,使用用户标识更为复杂。以需要各用户更多信息(比Kerberos或简单用户名和密码提供信息更详细)应用程序为例。此应用程序必须从其一些来源中获取此信息,或者自行存储此信息。以必须供组织内部员工和Internet用户访问应用程序为例,此应用程序必须同时支持基于Kerberos登录,以及基于用户名和密码登录。最后,假设应用程序必须供不同组织访问而无需单独登录。无法通过Kerberos或用户名和密码登录正确实现此标识联合身份验证。

15-1显示典型组织中标识库问题。如所示,需要强制用户单独登录才能访问用户自己域中不同应用程序,访问其域中应用程序就更不用说

WIF基本原理(1)标识库

15-1  标识库

如图15-1所示,不同区域需要不同标识库,同时,对于整个企业应用而言,需要整合这些标识,构成一个联合标志库(至少在逻辑上是联合标志库)。但是对于已有固件改造(比如已存储在不同数据库中用户标识),或者已有验证逻辑整合,尤其是不同业务系统,们面临着巨大挑战。如何只用一种标识方案来解决上述问题呢?

基于声明标识提供一种可在所有这些情况使用标识。它基于广泛认可可跨平台和组织边界使用行业标准。同时,已经在多个供应商产品中得到广泛实现,并且便于开发人员使用。

 ---------------------------------------注:本文部分内容改编自《.NET 安全揭秘》

你可能感兴趣的:(原理)