Разница между претензиями против OAuth

В чем разница между проверкой подлинности на основе утверждений против То, что предоставляется OAuth.

Я ищу концептуальную разницу, а не техническую разницу. Когда я выбираю претензии по OAuth и наоборот.

Проверка подлинности на основе утверждений предлагается Microsoft и основывается на WS-Security. Но OAuth - это более открытый протокол, который предлагается разрешить выборку ресурсов из разных порталов на основе маркера безопасности.

Претензии также содержат эту концепцию токена (SAML-кодированные или X509-сертификаты).

Я пытаюсь понять, когда я выбираю претензии по OAuth и наоборот.

Спасибо

Ответы

Ответ 1

Идентификация, основанная на требованиях, - это способ развязки кода приложения из специфики протоколов идентификации (таких как SAML, Kerberos, WS-Security и т.д.). Это не только для веб-приложений и реализовано как библиотека .NET/framework под названием WIF.

OAuth - это конкретный протокол, посредством которого один веб-сайт может получить согласие пользователя на доступ к своим личным данным на другом веб-сайте.

На самом деле это не так, что вы бы выбрали тот или другой, на самом деле они дополняют друг друга. Потенциально вы могли бы использовать оба сразу, если бы вы строили веб-приложение .NET, которое выполняло OAuth через WIF.