WIF是一個開發框架,該框架集成了基於標識的安全模型和方案以及實現細節。WIF給我們帶來的好處主要有三點:
q 基於聲明的標識處理方式。
q 使業務邏輯與認證、授權徹底分離。
q 可供學習和擴展的安全架構。
本系列主要探討它的基本原理,從中學習構建一個安全框架的基本要素和方法。重要的是從它的基本原理,了解標識安全的普遍術語和技術模型。
標識庫
對於某些應用程序,使用用戶標識非常簡單。以一個Windows應用程序為例,它僅供單個組織中的用戶訪問而無需過多了解用戶信息。此應用程序可僅依靠Kerberos來對其用戶進行身份驗證,並傳達有關他們的基本信息。以僅供Internet用戶訪問的應用程序為例,此應用程序可僅要求每個用戶提供用戶名和密碼,並將此用戶信息存儲在數據庫中。
但是,對於大多數應用程序,使用用戶標識更為復雜。以需要各用戶的更多信息(比Kerberos或簡單用戶名和密碼提供的信息更詳細)的應用程序為例。此應用程序必須從其他一些來源中獲取此信息,或者自行存儲此信息。以必須供組織內部員工和Internet用戶訪問的應用程序為例,此應用程序必須同時支持基於Kerberos的登錄,以及基於用戶名和密碼的登錄。最後,假設應用程序必須供不同組織訪問而無需單獨登錄。無法通過Kerberos或用戶名和密碼登錄正確實現此標識聯合身份驗證。
圖15-1顯示典型組織中的標識庫問題。如圖所示,需要強制用戶單獨登錄才能訪問用戶自己域中的不同應用程序,訪問其他域中的應用程序就更不用說了。
圖15-1 標識庫
如圖15-1所示,不同的區域需要不同的標識庫,同時,對於整個企業的應用而言,需要整合這些標識,構成一個聯合標志庫(至少在邏輯上是聯合標志庫)。但是對於已有固件的改造(比如已存儲在不同數據庫中的用戶標識),或者已有驗證邏輯的整合,尤其是不同的業務系統,我們面臨著巨大的挑戰。如何只用一種標識方案來解決上述問題呢?
基於聲明的標識提供了一種可在所有這些情況下使用的標識。它基於廣泛認可的可跨平台和組織邊界使用的行業標准。同時,已經在多個供應商的產品中得到廣泛實現,並且便於開發人員使用。
---------------------------------------注:本文部分內容改編自《.NET 安全揭秘》
作者:玄魂
出處:http://www.cnblogs.com/xuanhun/
查看本欄目
