比较SSO协议: WS-Fed, SAML, and OAuth
真实比喻
在我们获得技术之前,让我们用完全非技术性的东西来解决这个问题。作为工程师,我们非常注重将事情分解为组件和流程。这有助于我们了解事情,以便我们可以排除故障或构建复杂的系统。当你去机场登机时,你的登录协议,身份验证协议和令牌类型是什么?这三个组件将成为整个博客的焦点。我将如何定义它们:
- 什么是登录协议(Sign-in protocol)?去了其中一个值机亭,然后打印我的登机牌,然后通过TSA线,然后去登机口,最后登上飞机。我希望我能以这种方式与机场互动并按顺序执行这些动作,否则,我将无法登机。
- 什么是身份验证协议(Authentication protocol)?虽然我的登机牌是其中的一部分,但我必须提供身份证或护照来证明我是谁。
- 什么是令牌类型(Token Type)?我的登机牌是我登机的令牌。
现在,当我们谈论WS-Fed或SAML时,总是问自己同样的问题:什么是登录协议,什么是身份验证协议,什么是令牌类型。无论您是否理解这些概念,询问这些问题都会产生影响。
1 WS-FED
WS-Fed是一种登录协议,用简单的英语表示当你试图获得访问权限的应用程序将你重定向到ADFS服务器时,它必须以特定的方式(WS-Fed)处理。
A 登录协议
典型的请求
- Wa = signin1.0:这告诉ADFS服务器为用户调用登录。
- Wtrealm:这告诉ADFS我想要的应用程序是什么。这必须与ADFS中列出的其中一个信赖方信任的标识符相匹配。
- Wctx:这是应用程序希望在用户进行身份验证后发送回的一些会话数据。
- wct:这是我尝试访问应用程序的确切时间。
B 身份认证协议
略。。。
C 令牌类型
最后,在输入我的凭据后,ADFS让我发送回原始应用程序的令牌类型是什么:当使用WS-Fed登录协议时,ADFS将始终向您的浏览器发出SAML 1.1令牌然后,您将自动POST回应用程序
2 SAML
SAML是登录协议和令牌类型。关于登录协议,SAML和WS-Fed实现了同样的目的,但处理方式却截然不同。
A 登录协议
示例
让我们分解这些参数:
- SAMLRequest:这实际上是一个Base64编码的XML文档。您实际上可以将此值减去SAMLRequest =粘贴到此处以对其进行解码并以纯文本格式查看@https://idp.ssocircle.com/sso/toolbox/samlDecode.jsp
- RelayState:在我针对ADFS进行身份验证后,应用程序希望将其发送回的会话数据。
- SigAlg:使用哪种签名算法对请求进行签名。
- 签名:上述请求的数字签名。
B 身份认证协议
略。。
C 令牌类型
ADFS将始终为使用SAML登录协议配置的应用程序发出SAML 2.0令牌。
3 OAuth
虽然有一些关于OAuth是登录协议或身份验证协议的争论,虽然它确实在不断发展,但在ADFS 2012 R2领域,OAuth是另一种登录协议。
A 登录协议
示例
让我们分解这些参数:
- response_type: 告诉我想要执行OAuth并获得授权代码的ADFS服务器。
- client_id:我想要访问的应用程序的ID。
- 资源:我正在尝试访问的应用程序的URL / URI。
- redirect_uri:告诉ADFS将授权代码发回的人
B 身份认证协议
C 令牌类型
原文链接:https://blogs.technet.microsoft.com/askpfeplat/2014/11/02/adfs-deep-dive-comparing-ws-fed-saml-and-oauth/
比较SSO协议: WS-Fed, SAML, and OAuth的更多相关文章
- SAML和OAuth2这两种SSO协议的区别
目录 简介 SAML SAML的缺点 OAuth2 OAuth2的缺点 两者的对比 CAS简介 简介 SSO是单点登录的简称,常用的SSO的协议有两种,分别是SAML和OAuth2.本文将会介绍两种协 ...
- SSO & Single Sign On
SSO & Single Sign On 单点登录 https://en.wikipedia.org/wiki/Single_sign-on https://cloud.google.com/ ...
- SAML - SSO(转)
http://baike.baidu.com/view/758527.htm?fr=aladdin SAML即安全断言标记语言,英文全称是Security Assertion Markup Langu ...
- 在wildfly中使用SAML协议连接keycloak
目录 简介 OpenID Connect和SAML SAML的工作流程 在keycloak中使用SAML 准备wildfy和应用程序 简介 我们知道SSO的两个常用的协议分别是SAML和OpenID ...
- OAuth 2.0 / RCF6749 协议解读
OAuth是第三方应用授权的开放标准,目前版本是2.0版,以下将要介绍的内容和概念主要来源于该版本.恐篇幅太长,OAuth 的诞生背景就不在这里赘述了,可参考 RFC 6749 . 四种角色定义: R ...
- OpenID Connect:OAuth 2.0协议之上的简单身份层
OpenID Connect是什么?OpenID Connect(目前版本是1.0)是OAuth 2.0协议(可参考本人此篇:OAuth 2.0 / RCF6749 协议解读)之上的简单身份层,用 A ...
- 转 OAuth 2.0授权协议详解
http://www.jb51.net/article/54948.htm 作者:阮一峰 字体:[增加 减小] 类型:转载 时间:2014-09-10我要评论 这篇文章主要介绍了OAuth 2.0授权 ...
- Java项目接入sso单点登录
最近在落地cat(java开发的一款开源监控系统)接入公司的内部项目,其中有项需求是接入公司的sso单点登录系统.研究了公司之前java项目接入sso系统,大部分是采用spring框架,然后依赖spr ...
- SSO单点登录和CAS
一.单点登录流程 =====客户端====== 1.拦截客户端的请求判断是否有局部的session 2.1如果有局部的session,放行请求. 2.2如果没有局部session 2.2.1请求中有携 ...
随机推荐
- BZOJ1997 HNOI2010 平面图判定 planar (并查集判二分图)
题意 判断一个存在哈密顿回路的图是否是平面图. n≤200,m≤10000n\le200,m\le10000n≤200,m≤10000 题解 如果一定存在一个环,那么连的边要么在环里面要么在外面.那么 ...
- 系统空闲时间 解决 GetLastInputInfo 负数问题
using System;using System.Collections.Generic;using System.Linq;using System.Runtime.InteropServices ...
- jquery动画函数里面可以跟一个回调函数,表示动画结束后执行的代码
jquery动画函数里面可以跟一个回调函数,表示动画结束后执行的代码 使用js监听动画结束后进行的操作: $ele.fadeIn(300,function(){...}) $ele.fadeOut(3 ...
- Spring-RabbitMQ实现商品的同步(后台系统)
1.配置rabbitMQ 需要把以上配置文件加载到spring容器,在appliacationContext.xml中添加如下内容: 注意:无需配置监听,因为服务器端(生产者只需要将消息发送到交换机即 ...
- java重载和重写
重载(Overloading) (1) 方法重载是让类以统一的方式处理不同类型数据的一种手段.多个同名函数同时存在,具有不同的参数个数/类型. 重载Overloading是一个类中多态性的一种表现. ...
- 对深层嵌套对象进行取值&赋值
需求如下: let obj = { foo: { bar: { name: 'biz' } } }; // 输出 'biz' this.getObj(obj, 'foo.bar.name'); obj ...
- yii2.0场景的简单使用
一.规则中使用场景规则场景的使用模型层public function rules(){ return [ [['name','product_id'],'required','on'=>'add ...
- mysql的 UUID的生成方式
之前一直用的 int 自增的方式,之后总觉得缺少自信. 之后,我觉得采用uuid的方式,可能会好一些,至于用户统计排序等,则另用属性进行记录. 这里设计到一对矛盾: 安全性 与 网络带宽利 ...
- nginx 动态黑名单
原理: 根据nginx 访问日志记录发现可疑的或者不正常的访问记录记录然后自动添加到nginx的黑名单 起到阻止的作用 可以作为防范少量的ddos攻击 1.首先要格式化nginx的日志(相关内容可以 ...
- Entity Framework 一个表多个外键关联另外一张表的相同主键
一. 报错 异常:System.Data.Entity.Infrastructure.DbUpdateException: 更新条目时出错.有关详细信息,请参阅内部异常. ---> System ...