WIF基本原理(1)标识库

WIF是一个开发框架,该框架集成了基于标识的安全模型和方案以及实现细节。WIF给我们带来的好处主要有三点:

q  基于声明的标识处理方式。

q  使业务逻辑与认证、授权彻底分离。

q  可供学习和扩展的安全架构。

本系列主要探讨它的基本原理,从中学习构建一个安全框架的基本要素和方法。重要的是从它的基本原理,了解标识安全的普遍术语和技术模型。

标识库

对于某些应用程序,使用用户标识非常简单。以一个Windows应用程序为例,它仅供单个组织中的用户访问而无需过多了解用户信息。此应用程序可仅依靠Kerberos来对其用户进行身份验证,并传达有关他们的基本信息。以仅供Internet用户访问的应用程序为例,此应用程序可仅要求每个用户提供用户名和密码,并将此用户信息存储在数据库中。

但是,对于大多数应用程序,使用用户标识更为复杂。以需要各用户的更多信息(比Kerberos或简单用户名和密码提供的信息更详细)的应用程序为例。此应用程序必须从其他一些来源中获取此信息,或者自行存储此信息。以必须供组织内部员工和Internet用户访问的应用程序为例,此应用程序必须同时支持基于Kerberos的登录,以及基于用户名和密码的登录。最后,假设应用程序必须供不同组织访问而无需单独登录。无法通过Kerberos或用户名和密码登录正确实现此标识联合身份验证。

图15-1显示典型组织中的标识库问题。如图所示,需要强制用户单独登录才能访问用户自己域中的不同应用程序,访问其他域中的应用程序就更不用说了。

图15-1  标识库

如图15-1所示,不同的区域需要不同的标识库,同时,对于整个企业的应用而言,需要整合这些标识,构成一个联合标志库(至少在逻辑上是联合标志库)。但是对于已有固件的改造(比如已存储在不同数据库中的用户标识),或者已有验证逻辑的整合,尤其是不同的业务系统,我们面临着巨大的挑战。如何只用一种标识方案来解决上述问题呢?

基于声明的标识提供了一种可在所有这些情况下使用的标识。它基于广泛认可的可跨平台和组织边界使用的行业标准。同时,已经在多个供应商的产品中得到广泛实现,并且便于开发人员使用。

---------------------------------------注:本文部分内容改编自《.NET 安全揭秘》
作者:玄魂

出处:http://www.cnblogs.com/xuanhun/

查看本栏目更多精彩内容:http://www.bianceng.cnhttp://www.bianceng.cn/Programming/net/

时间: 2024-11-02 03:59:11

WIF基本原理(1)标识库的相关文章

WIF基本原理(2)基于声明的标识模型

基于声明的标识模型,简单来讲,就是将用户信息作为声明条件,向应用程序来提供用户标识.一个声明以是用户名,也可能是电子邮件地址.现在的想法是配置外部标识系统,为应用程序提供了解用户及其所做各个请求所需的所有信息,以及从可靠源接收的标识数据的加密保证. 基于声明的标识模型,更容易实现单点登录,并且应用程序可以彻底摆脱以下操作: 1) 对用户进行身份验证. 2) 存储用户账户和密码. 3) 调用企业目录以查看用户标识的详细信息. 4) 从其他平台或公司与标识系统集成. 在基于声明的标识模型中,应用程序

WIF基本原理(5)WIF的功能简介

WIF(Windows Identity Foundation)是用于构建标识应用程序的框架.该框架将 WS-Trust 和 WS-Federation 协议抽象化,并向开发人员呈现用于构建安全令牌服务和声明感知应用程序的 API.应用程序可以使用 WIF 处理安全令牌服务颁发的令牌,并在 Web 应用程序或 Web 服务中,根据标识做出决策. WIF具有以下主要功能: 1)        构建声明感知应用程序(信赖方应用程序). WIF可帮助开发人员构建声明感知应用程序. 除了提供新的声明模型

WIF基本原理(4)联合身份验证实例

联合身份验证实例 本实例要实现合作伙伴员工通过单一登录来尝试访问其他合作伙伴域中的资源.联合身份验证方案中有三个主要角色:标识提供方.声明提供方和信赖方.WIF会提供API 来构建所有这三个角色. 图15-11说明了典型的联合身份验证方案.在此方案中,Fabrikam员工希望无需重新登录即可访问Contoso.com 资源,也就是使用单一登录. 图15-11 联合身份验证 参与此方案的虚构用户包括: q  Frank:希望访问Contoso资源的Fabrikam员工. q  Daniel:在应用

WIF基本原理(3)安全令牌服务

安全令牌服务(STS)是用于根据WS-Trust和WS-Federation协议构建.签署和颁发安全令牌的服务组件.实施这些协议需要进行大量的工作,但WIF能为你完成所有这些工作,让那些不精通协议的人不费吹灰之力即可启动并运行STS.可以使用云STS(如LiveID STS).预先构建的STS(如ADFS 2.0),或者如果想要颁发自定义令牌或提供自定义身份验证或授权,可以使用WIF构建自定义的STS.借助WIF即可轻松地构建自己的STS. STS身份验证支持多种方案: q  从身份验证机制中分

国家物联网CTO沈烁:智慧城市中的基础数据服务-标识数据服务

2016年1月20日,数据猿作为独家全程直播与专访媒体,受邀参加"全球大数据峰会 Global Big Data Conference 简称为 GBDC"本届大会由世界O2O组织.全球大数据联盟GBDC.全球移动游戏联盟GMGC.光合资本主办,中国互联网协会O2O工作组.中国汽车流通协会 支持. GBDC全球大数据峰会在北京国家会议中心举办,本届大会规模逾3000人.大会从大数据改变政务管理方式.引领全球企业营销.智能交通综合服务. 互联网整合营销运营.前沿科技等方面同现场嘉宾进行深入

编程:ASP JSP PHP大比拚

ASP全名Active Server Pages,是一个WEB服务器端的开发环境,利用它可以产生和执行动态的.互动的.高性能的WEB服务应用程序.ASP采用脚本语言VBScript(Java script)作为自己的开发语言. PHP是一种跨平台的服务器端的嵌入式脚本语言.它大量地借用C,Java和Perl语言的语法, 并耦合PHP自己的特性,使WEB开发者能够快速地写出动态产生页面.它支持目前绝大多数数据库.还有一点,PHP是完全免费的,不用花钱,你可以从PHP官方站点(http: //www

ASP、JSP、PHP 三种技术比较

js|比较|js 目前,最常用的三种动态网页语言有ASP(Active Server Pages),JSP(JavaServer Pages),PHP (Hypertext Preprocessor). 简 介 ASP全名Active Server Pages,是一个WEB服务器端的开发环境,利用它可以产生和执行动态的.互动的.高性能的WEB服务应用程序.ASP采用脚本语言VBScript(Java script)作为自己的开发语言. PHP是一种跨平台的服务器端的嵌入式脚本语言.它大量地借用C

动态网页制作:ASP、JSP、PHP三种技术比较

js|比较|动态|网页 目前,最常用的三种动态网页语言有ASP(Active Server Pages),JSP(JavaServer Pages),PHP (Hypertext Preprocessor). 简 介 ASP全名Active Server Pages,是一个WEB服务器端的开发环境,利用它可以产生和执行动态的.互动的.高性能的WEB服务应用程序.ASP采用脚本语言VBScript(Java script)作为自己的开发语言. PHP是一种跨平台的服务器端的嵌入式脚本语言.它大量地

动态网站制作:ASP,PHP,JSP的比较

js|比较|动态 目前,最常用的三种动态网页语言有ASP(Active Server Pages),JSP(Java Server Pages),PHP (Hypertext Preprocessor). 简 介 ASP全名Active Server Pages,是一个WEB服务器端的开发环境, 利用它可以产生和运行动态的.交互的.高性能的WEB服务应用程序.ASP采用脚本语言VB Script(Java script)作为自己的开发语言. PHP是一种跨平台的服务器端的嵌入式脚本语言. 它大量