azure ad:基於宣告的驗證和授權
概念:宣告(claim):對某個個體的某項屬性的乙個確定的陳述(assertion),例如,這個使用者是jeffrey
安全令牌(security token):宣告的集合,一般經過簽名(signature)和加密(encryption)操作以保證資訊的完整、真實、保密和自身不可複製性;
服務提供方(service provider)/依賴方(replying party):服務提供方是要被訪問的服務,通常被稱為依賴方,以表明服務依賴於第三方提供驗證和授權;
身份提供方(identity provider):提供使用者驗證、發放安全令牌的服務。服務提供方和身份提供方的關係是,前者依賴於後者來進行使用者的身份驗證,並根據後者所提供的宣告來對使用者進行授權,它們之間的協議有ws-federation、saml、openid connect等;
信任(trust):服務提供方和身份提供方之間的信任關係,它們之間的相互信任組成了乙個信任圈(circle of trust),在這個圈內可以實現所謂單點登陸(sso)的功能,使用者只需要在身份提供方登陸一次,就可以訪問與身份提供方相互信任的服務提供方;
驗證(authentication):確認個體屬性的過程,通常需要被驗證個體提供某種身份證明,有的服務提供方還需要個體提供多種驗證方式,也就是多重驗證(multi-factor authentication),反之,如果不需要對使用者進行驗證,則是所謂的允許匿名訪問(anonymous access);
授權(authorization):確認個體是否有請求某項服務的許可權。
基本流程和文件:
openid connect驗證協議,參考:
graph api介面:服務提供方使用graph api可以對目錄的資料和物件執行crud(create、read、update和delete)操作,參考:
參考:《windows azure實戰》
基於Token的認證和基於宣告的標識
openid解決跨站點的認證問題,oauth解決跨站點的授權問題。認證和授權是密不可分的。而openid和oauth這兩套協議出自兩個不同的組織,協議上有相似和重合的之處,所以想將二者整合有些難度。好在openid connect作為openid的下一版本,在oauth 2.0的協議基礎上進行擴充套...
Spring 基於XML和註解的宣告式事務控制
配置事務管理器 配置事務通知 配置切入點表示式 配置切入點與事務通知的依賴關係 配置事務的屬性 context component scan base package com.demo context component scan jdbcutils class com.demo.utils.jdb...
基於LDAP進行驗證 方法和問題
隨著ldap的發展和趨於成熟,基於ldap的應用也越來越廣泛,這些應用往往都離不開身份驗證。這裡就來說一下基於ldap的目錄服務進行驗證。和利用資料庫進行驗證類似,ldap中也是利用登陸名和密碼進行驗證,ldap中會定義乙個屬性password,用來存放使用者密碼,而登陸名使用較多的都是mail位址...