基于声明的架构与微软Azure AD认证授权体系解析
1. 认证与授权概述
在当今的网络环境中,认证和授权是大多数系统,尤其是基于云的系统所必需的基本功能。互联网充满了黑客和不法分子,他们极具创造力和决心,不断寻找攻击系统的方法。然而,创建一个高效、可靠且易用的认证和授权系统需要深厚的网络安全知识和丰富的反黑客技术经验,这对于大多数云服务开发者来说是一项巨大的挑战。
为了解决这个问题,我们可以借鉴购买锁的思路。当我们需要锁门时,通常会选择购买现成的锁,而不是自己制作。这是因为制作可靠的锁需要专业知识、材料和工具,而且时间成本高,自制锁的质量也难以保证。同样,在系统中实现认证和授权功能时,将其“外包”给可信的第三方是一种明智的选择,这就是基于声明的架构的基本理念。
需要注意的是,没有绝对安全的系统。就像迷宫总有一条通路一样,任何安全系统都存在潜在的漏洞,因为为了使系统可用,必须提供访问机制,而这就不可避免地带来了安全风险。
2. 基于声明的认证与授权基本概念
在深入研究基于声明的架构之前,我们先来了解一些基本概念:
-用户和属性:用户是指使用服务的实体,如人类用户或程序。用户通常具有一个或多个相关属性,如用户名、电子邮件地址和电话号码。
-声明:声明是对实体属性的断言。例如,“这是史密斯先生” 就是对一个人姓氏属性的断言。任何一方都可以提出声明,如自我介绍时就是在对自己的属性进行声明,而身份证上的信息则是第三方(如政府机构)对我们的声明。
-安全令牌:安全令牌是一组声明的集合,通常经过
