OAUTH���、OPENID、SAML�、CAS做統(tǒng)一認證與授權(quán)時有什么區(qū)別,為何業(yè)界一股腦都使用oauth�����?OPENID��、SAML�����、CAS不能進行授
權(quán)的操作碼�����?我感覺好像都可以,還是因為OAUTH2.0協(xié)議在第三方調(diào)用開發(fā)上比較簡單�,比較輕量級,所以大家都采用oauth�����?
首先SSO和權(quán)限控制是兩回事���。
OpenID是IDP提供一個身份唯一標識把第三方的應(yīng)用賬號綁定到唯一標識上��,只起到了認證的作用�。
SAML支持XACML協(xié)議進行權(quán)限控制�。
CAS本身沒有授權(quán),也沒有權(quán)限控制����,但是CAS支持SAML,所以就支持了權(quán)限控制����。
SAML協(xié)議較OAUTH來說確實比較復(fù)雜,但是功能也十分強大��,支持認證,權(quán)限控制和用戶屬性��。
-----------------------------------------------------------------------------------------------------------------
近年來��,隨著企業(yè)內(nèi)部認證系統(tǒng)的應(yīng)用和趨于完善����,企業(yè)間通信需求不斷增加。此外��,隨著WEB2.0的興起���,尤其是微博技術(shù)的發(fā)展����,同一用戶位于不同微博網(wǎng)站之間的信息交流和傳遞需求也日益明顯����。聯(lián)邦認證應(yīng)運而生�。
WEB方式的基于SAML的SSO已經(jīng)開始流行,OpenID也很火��,今年以來OAuth又火上澆油��。上次IETF會議已經(jīng)開BAR
BOF討論了eduroam(education
roaming)的事情。
IETF目前考慮的聯(lián)邦認證框架結(jié)合了EAP����, RADISU,
GSS-API等�,不僅可以為WEB提供聯(lián)合認證,也希望為SSHv2��,
NFSv4�����,IMAP等非WEB應(yīng)用提供身份的聯(lián)邦認證能力����。
SAML提供了授權(quán)和屬性能力, GSS-API提供了與應(yīng)用的集成能力�����,
EAP提供了對現(xiàn)有證書支持封裝在GSS-API中的能力��,RADIUS傳遞聯(lián)邦認證能力���。
ipbaobao認為���,這一技術(shù)具有進一步很大的發(fā)展空間����,建議關(guān)注���。
eduroam (education
roaming): is the secure, world-wide roaming
access
service developed for the international
research and education
community. eduroam allows students,
researchers and staff from
participating institutions to obtain Internet
connectivity across campus
and when visiting other participating
institutions by simply opening
their laptop.
----------------------------------------------------------------------------------------------------------
我們同Apigee的SamRamji進行了對話���。他本人和其公司(致力于為企業(yè)和開發(fā)者提供API產(chǎn)品)發(fā)現(xiàn)在安全服務(wù)上升的趨勢中處于核心的是OAuth。
過去��,Ramji領(lǐng)導(dǎo)微軟的
開源戰(zhàn)略�����,同時也是BEA的AquaLogic產(chǎn)品團隊的創(chuàng)始成員�����。他現(xiàn)在擔(dān)任Apigee的戰(zhàn)略專家���,并為ApigeeAPI最佳實踐博客撰寫文章。他
將給予令牌的OAuth協(xié)議比作仆從鑰匙�,在不用多重登陸的前提下�,允許用戶從一個網(wǎng)站到另一個網(wǎng)站(從Twitter到TweetDeck�,從
Facebook到Twitter,從NewYorkTimes到Facebook等)�。
“OAuth讓應(yīng)用來充當(dāng)像Twitter(代表了終端用戶)這樣的服務(wù)的中間人,”他說道�。這種網(wǎng)站跳躍類型的令牌服務(wù)是Web2.0的關(guān)鍵標志,所以在今天稱之為“應(yīng)用經(jīng)濟(AppEconomy)”���。
OAuth會隨著基于REST的Web服務(wù)方法的廣泛使用而起到很好的作用����。此外�����,Ramji認為OAuth是一種“剛剛好的”安全服務(wù)���,能適用于廣大的開發(fā)者�����。移動設(shè)備大爆炸可能會促進OAuth的使用����。
以
前的替代選擇包含了更為復(fù)雜的一套流程,開發(fā)者需要去學(xué)習(xí)����。當(dāng)然,OAuth也有其局限性���。OAuth的目標直接是通過HTTP進行站點到站點�、應(yīng)用到應(yīng)
用的跳躍��?���?梢酝髽I(yè)本地的SAML、OpenID以及其他更復(fù)雜的安全服務(wù)作為至關(guān)重要的后端系統(tǒng)的網(wǎng)關(guān)來共同使用�����。
OAuth也可以看作是服務(wù)重大變化的指示器����,Ramji表示����?���!白鳛榛诹钆频陌踩到y(tǒng)��,它允許用戶賬號信息為第三方應(yīng)用以某種途徑來使用���,而且不會將用戶名和密碼暴露給那個應(yīng)用�?�!?/font>
會發(fā)生什么問題呢���?“對于一般水平的開發(fā)者來說�����,連接OAuth的過程十分復(fù)雜����,”Ramji說道���,“而且����,它仍舊是一種運作中的標準,讓兩個應(yīng)用保持一致并不容易�����?����!?/font>
這也正是Apigee的機會��。該公司構(gòu)建了一個單一的����、簡單API同多種終端服務(wù)通信,他介紹到��。托管的產(chǎn)品起到服務(wù)中間件的
作用�����,能夠處理你的請求�。開發(fā)者可以用Ruby、ObjectiveC���、Java和JavaScript來調(diào)用
ApigeeOAuthAPI��,ApigeeOAuthAPI還支持SalesforceREST����、Chatter�����、LinkedIn和
TwitterAPI����,未來還會有更多的支持。
Apigee的工作成為API密集型企業(yè)的一種象征�����,可能軟件產(chǎn)業(yè)會發(fā)生經(jīng)濟變革���。
