私は、クレームベースの認証を使ってしばらく前からプログラミングしてきました Windows Identity Foundation.
私には、 Windows Identity Foundationユーザーがいったんログインすると、クレームは基本的にユーザーを説明する一連の情報になります。
古いロールベースの認証では、私はユーザーが特定のグループのメンバーであるかどうかはわかりませんが、クレームベースの認証では、ユーザーを表す情報の文字列を使用できるようになりました。 "このユーザーは女性です"。このユーザーは "1975年7月6日"で生まれました。 "このユーザーはUSBキーを使用してログインしました"。
クレームベースの認証の本質ですか、私はフレームワークによってアプリケーションに与えられたユーザーに関する情報の文字列を持っていますか?
回答:
回答№1の場合は3クレームは、あなたのアプリケーションと対話している主題についての属性であり、 何でも。あなたが与えたすべての例は本質的に正しいです。
だからこそ、あなたは、それ以上の理由で主張を使うことができます運転許可規則。それらは、例えば、ユーザプロファイル情報を表すこともできる。そして、ロールメンバーシップはもう一つの属性です(アクセス制御のために主に使用されます)。
カップルの観察:
- 1つの微妙な、しかし非常に重要な違いは、クレームは、信頼できる信頼できるエンティティ(STS)によって発行されます。クレームの起源は、クレーム自体と同じくらい重要です。簡単な例を使用するには:MicrosoftのSTSが発行したトークンを「Title = Program Manager」という主張で送信した場合、私はMicrosoftのPMであることを確信しているはずです。取得した属性の忠実度と発行者の信用度との相関。
- WIFの主張では、値は "文字列"として実装されます。(.NET型のように)、任意の(直列化可能な)オブジェクトである可能性があります。ロール、グループ、名前などの単純なものについては、値を使用するだけです。他のより複雑な型の場合、ある種の直列化解除が必要になります。