OAUTH����、OPENID、SAML�����、CAS做統(tǒng)一認(rèn)證與授權(quán)時(shí)有什么區(qū)別�����,為何業(yè)界一股腦都使用oauth�?OPENID、SAML�����、CAS不能進(jìn)行授
權(quán)的操作碼?我感覺(jué)好像都可以����,還是因?yàn)镺AUTH2.0協(xié)議在第三方調(diào)用開(kāi)發(fā)上比較簡(jiǎn)單,比較輕量級(jí)����,所以大家都采用oauth?
首先SSO和權(quán)限控制是兩回事����。
OpenID是IDP提供一個(gè)身份唯一標(biāo)識(shí)把第三方的應(yīng)用賬號(hào)綁定到唯一標(biāo)識(shí)上,只起到了認(rèn)證的作用����。
SAML支持XACML協(xié)議進(jìn)行權(quán)限控制。
CAS本身沒(méi)有授權(quán)�,也沒(méi)有權(quán)限控制,但是CAS支持SAML����,所以就支持了權(quán)限控制。
SAML協(xié)議較OAUTH來(lái)說(shuō)確實(shí)比較復(fù)雜,但是功能也十分強(qiáng)大�����,支持認(rèn)證�,權(quán)限控制和用戶屬性�����。
-----------------------------------------------------------------------------------------------------------------
近年來(lái)�,隨著企業(yè)內(nèi)部認(rèn)證系統(tǒng)的應(yīng)用和趨于完善,企業(yè)間通信需求不斷增加�����。此外�,隨著WEB2.0的興起,尤其是微博技術(shù)的發(fā)展�,同一用戶位于不同微博網(wǎng)站之間的信息交流和傳遞需求也日益明顯。聯(lián)邦認(rèn)證應(yīng)運(yùn)而生�����。
WEB方式的基于SAML的SSO已經(jīng)開(kāi)始流行�����,OpenID也很火,今年以來(lái)OAuth又火上澆油����。上次IETF會(huì)議已經(jīng)開(kāi)BAR
BOF討論了eduroam(education
roaming)的事情。
IETF目前考慮的聯(lián)邦認(rèn)證框架結(jié)合了EAP����, RADISU,
GSS-API等�����,不僅可以為WEB提供聯(lián)合認(rèn)證����,也希望為SSHv2,
NFSv4����,IMAP等非WEB應(yīng)用提供身份的聯(lián)邦認(rèn)證能力。
SAML提供了授權(quán)和屬性能力�, GSS-API提供了與應(yīng)用的集成能力,
EAP提供了對(duì)現(xiàn)有證書(shū)支持封裝在GSS-API中的能力����,RADIUS傳遞聯(lián)邦認(rèn)證能力�����。
ipbaobao認(rèn)為�,這一技術(shù)具有進(jìn)一步很大的發(fā)展空間�����,建議關(guān)注����。
eduroam (education
roaming): is the secure, world-wide roaming
access
service developed for the international
research and education
community. eduroam allows students,
researchers and staff from
participating institutions to obtain Internet
connectivity across campus
and when visiting other participating
institutions by simply opening
their laptop.
----------------------------------------------------------------------------------------------------------
我們同Apigee的SamRamji進(jìn)行了對(duì)話�。他本人和其公司(致力于為企業(yè)和開(kāi)發(fā)者提供API產(chǎn)品)發(fā)現(xiàn)在安全服務(wù)上升的趨勢(shì)中處于核心的是OAuth。
過(guò)去����,Ramji領(lǐng)導(dǎo)微軟的
開(kāi)源戰(zhàn)略,同時(shí)也是BEA的AquaLogic產(chǎn)品團(tuán)隊(duì)的創(chuàng)始成員�。他現(xiàn)在擔(dān)任Apigee的戰(zhàn)略專家,并為ApigeeAPI最佳實(shí)踐博客撰寫(xiě)文章�。他
將給予令牌的OAuth協(xié)議比作仆從鑰匙,在不用多重登陸的前提下�����,允許用戶從一個(gè)網(wǎng)站到另一個(gè)網(wǎng)站(從Twitter到TweetDeck,從
Facebook到Twitter�����,從NewYorkTimes到Facebook等)����。
“OAuth讓?xiě)?yīng)用來(lái)充當(dāng)像Twitter(代表了終端用戶)這樣的服務(wù)的中間人,”他說(shuō)道����。這種網(wǎng)站跳躍類型的令牌服務(wù)是Web2.0的關(guān)鍵標(biāo)志,所以在今天稱之為“應(yīng)用經(jīng)濟(jì)(AppEconomy)”�。
OAuth會(huì)隨著基于REST的Web服務(wù)方法的廣泛使用而起到很好的作用。此外����,Ramji認(rèn)為OAuth是一種“剛剛好的”安全服務(wù),能適用于廣大的開(kāi)發(fā)者����。移動(dòng)設(shè)備大爆炸可能會(huì)促進(jìn)OAuth的使用。
以
前的替代選擇包含了更為復(fù)雜的一套流程�,開(kāi)發(fā)者需要去學(xué)習(xí)����。當(dāng)然�,OAuth也有其局限性。OAuth的目標(biāo)直接是通過(guò)HTTP進(jìn)行站點(diǎn)到站點(diǎn)�、應(yīng)用到應(yīng)
用的跳躍?����?梢酝髽I(yè)本地的SAML����、OpenID以及其他更復(fù)雜的安全服務(wù)作為至關(guān)重要的后端系統(tǒng)的網(wǎng)關(guān)來(lái)共同使用。
OAuth也可以看作是服務(wù)重大變化的指示器�,Ramji表示����。“作為基于令牌的安全系統(tǒng)�,它允許用戶賬號(hào)信息為第三方應(yīng)用以某種途徑來(lái)使用,而且不會(huì)將用戶名和密碼暴露給那個(gè)應(yīng)用����?����!?/font>
會(huì)發(fā)生什么問(wèn)題呢�����?“對(duì)于一般水平的開(kāi)發(fā)者來(lái)說(shuō)�,連接OAuth的過(guò)程十分復(fù)雜����,”Ramji說(shuō)道,“而且�����,它仍舊是一種運(yùn)作中的標(biāo)準(zhǔn)�,讓兩個(gè)應(yīng)用保持一致并不容易?����!?/font>
這也正是Apigee的機(jī)會(huì)����。該公司構(gòu)建了一個(gè)單一的�����、簡(jiǎn)單API同多種終端服務(wù)通信�,他介紹到�����。托管的產(chǎn)品起到服務(wù)中間件的
作用�,能夠處理你的請(qǐng)求。開(kāi)發(fā)者可以用Ruby����、ObjectiveC、Java和JavaScript來(lái)調(diào)用
ApigeeOAuthAPI����,ApigeeOAuthAPI還支持SalesforceREST、Chatter����、LinkedIn和
TwitterAPI�,未來(lái)還會(huì)有更多的支持。
Apigee的工作成為API密集型企業(yè)的一種象征�����,可能軟件產(chǎn)業(yè)會(huì)發(fā)生經(jīng)濟(jì)變革。
