还有一个原因为什么软件的开发者并不是外授权?
https://stackoverflow.com/questions/955399
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian题
价值提议的外部化身份是开始增加,其中许多网站现在接受OpenID,公开或联合的身份。然而,许多开发人员还没有采取的下一步具体化授权和使用方法的基础上XACML.
的原因是,缺乏认识或其他什么东西?你会怎么指望了解 XACML-基础的办法的软件发展?
请注意,我要求有关授权,不认证。
解决方案
我想则外授权的前景比外在验证(OpenID的,CardSpace的,等等)一个更加困难的事情。这主要是由于该授权是更特殊应用。什么A被授权在我的应用程序做,他可能无法在你的应用程序做,而这即使假定有我的应用程序和你的,之间的一些共同parrallel其中最有可能也不会有。
我不想说,外部化的授权将的从不的工作要做,但老实说,我有一个艰难的时间想出理由你真的想这样做。也许一套房的,通过携手并肩,但同样的应用程序,这将最有可能被内部支持,而不是在外部。
其他提示
此外,请记住授权!==认证。仅仅因为一个用户进行身份验证并不意味着你已经解决了你的网站的授权部分。您还需要确定谁可以做什么和什么时候。
我们继续推广我们自己的最主要的原因是,像的OpenID等选项只看似高科技的网站支持。我们是一个小的球员,所以我们不会开始使用外部提供商,直到这样的时间,有一个更大的用户的认可。
我们不希望用户在我们的网站涉及到另一个网站做的第一件事。
我似乎已经陷入了误区,认为其他人 - 的问题是关于外部授权。就个人而言,我只相信一个本地网络中,我有过验证和授权服务器控制的分布式授权。我绝不会用在一个网站上的外部授权。
下面是我上的OpenID评论作为认证服务。
1)正如所指出的,授权!=验证。 OpenID的处理认证,但web应用程序所有者仍拥有分配给该登录权限的完全控制。这是一个正的,但有关此的混乱是负
2)我找不到链接,但OpenID是开放的社会工程/主中间/网络钓鱼攻击。该供应商试图阻止这种(ID图片,浏览器证书,回拨验证等),但在黑帽的网站会弹出一个对话框/页,上面写着“请输入您的OpenID用户名和密码”和天才没有帮助用户的要求。
3)联合ID的每个供应商有能力(有些人会说责任)来跟踪他们的用户的所有活动,不管他们使用什么网站的ID。这就是为什么谷歌和雅虎都卖力的到的提供的联合ID,但没有这么兴奋的消耗的他们。
4)相反的上述评论,它是常用的是使用OpenID降低屏障登记,特别是当一个有用的UI指出一个新的用户可能已经具有一个OpenID的情况。当使用组合的OpenID / OAuth的溶液如RPX这就更真实。
所以,从我的角度来看,使用OpenID的风险是用户,而不是网站。我不能阻止用户通过使他们尽量记住另一个用户ID和密码被钓。此外,黑帽并不需要为自己的网站做任何事情比存储用户密码更恶毒的以纯文本格式可以访问用户的其他账户。有多少人对每个网站使用不同的密码日志成?
这是我做过一直是大公司内使用的专用应用程序,并在这些情况下,外部认证服务很少是一种选择,但身份验证,而不是通过一些内部服务(如Active Directory)来处理大多数项目。
我应该正好成为将建立一个公共网站我肯定会尽力让,而不是托管我自己的身份验证使用的类似OpenID的一个项目的一部分。
一个问题是一些的组合,而不是发明了在这里和不信任的外部化,当局对于(甚至pseudonomous)的身份。好好写了这里:
此外,我认为这可以是惯性。没有一个杀手级的应用程序来电,人们慢慢的迁移。鉴于数量上升的Facebook-集成,我已经看到最近我觉得我们在顶部的一个陡峭的斜坡,有关进入那个世界。
作为另一的海报所示,授权通常是专用的。你能在一个应用程序执行从什么,你可以在另一个DO显著变化。尤其是在客户现成的,货架应用,授权通常更自然地由应用程序处理的。
性能是另一个问题。这可以通过获取Sun的XACML实现,并用它来外部一些授权可以看出。您招致请求两侧是(取决于你的建筑师请求/响应等方式)可以远远超过授权决定的实际成本网络成本。构建成一个COTS应用程序,在那里你会有更少的自由进行性能优化,事情变得更糟。
不过,我觉得一些有前途的领域是围绕合规性。有一些授权不被应用而变化。的专有或机密信息或材料,例如转印。在这种情况下,强烈的情况下,可以为同一控制存在的每个应用程序进行,因为反过来是如此糟糕。具有相同的访问控制任意数量的实现和规则是一个管理的噩梦。一个简单的地方开始像一个XACML控制框架可能是什么有人可以看到启动,然后制定出什么样的人可以做的。
我认为这取决于项目的工作,你的类型。如果客户想存储授权是没有办法使用OpenID的...我使用谷歌应用程式发动机和为此我使用谷歌做的授权开发一个小项目。因此,它在很大程度上取决于项目的类型。
几个原因:
- 正如一些评论表明,有一种普遍的看法,即"授权是本地",这意味着很少有潜在的重新使用昂贵的维护,在高质量的"主题的属性,"需要为重要的访问的决定。(我认为有很高的再利用的潜力,因为有些法律/规定广泛适用,但对此进行充分讨论太久了这一格式。)
- 缺乏数据基础设施:为应用基于策略的访问控制之间的组织(我采用/信任的其它一些组织的授权("身份验证")数据解锁访问以我的数据)的需要,至少我的理解的语义属性(什么是"法律enforcemment官"?什么是"我们公民"。) 在这之后,这将是很好的有很容易理解的属性质量标准以及第三方认证的相同。(有些可能遵守这些要求类似于要求PKI互操作性:怎么一起来吗?和这只是一块的数据,再加上支持的东西。)
- 影响作用/职责:外授权,是否为"角色"或"属性"或"属性与数字"政策,意味着当地的"数据拥有者"失去控制的资源。他也分担了相当大的工作,并负责维护的用户名单。这种变化提升执行情况的外部身份验证从一个技术问题的组织问题的政治。
- 大多数组织不知道有没有写下来是什么他们的政策。访问的可能是"谁要求"或"谁要和我一样"或"无论谁可以给我的东西,如访问它们的数据"。 真正适用的规则可以是很丑陋的时候,他们被迫进入开表示他们在一个政策的语言。和技术人员设置良好的移交的书面政策,为数字的政策不会长在树上。事实上,技术人员组是业务分析师或律师,不是这家伙,和工具的那些家伙是罕见的,根本不存在。
- 当你有一个坚实的政策规则,就可能会发现,该特性所需要的过程中,它不存在--他们不是通常的那种东西,你找到已经在广告。电话号码是没有用作为身份验证的属性,甚至是"组织"可能是不适用于大多数法律或规定可以实际文件。这甚至不是提及工作变通和近似值你必须实现(并获得批准)来表达的政策要求就像"可能的原因"。
- 比较容易处理,但仍然是真实的,是许多非常广泛的婴儿床应用不支持外部授权,并且许多应用程序开发者不是用来做外部化,因此将(a)试着跟你出来的;或者(b)了解它在你一毛钱,这样做严重。
听起来很糟,对吗?因此,让我最后说,我觉得游戏是得不偿失的,尽管这一切。本列表的潜在好处被用于另一个员额调至另一个时间。
祝你好运!
同意与约瑟夫关于授权是高度应用特定点。
但除此之外,外包的授权也带来了一个重大风险的担忧:因为授权是高度专用和精细,一旦外部化授权给服务提供商,远离迁移或更换该提供商变成一个几乎不可能完成的任务。你在钩无可挽回。
所以在你的风险和收益的评估,企业推理驱使你避免与这样的硬依赖下去。
对于我个人来说,这是我曾经听说过外部授权的第一件事.. 所以它可能只是缺乏认识。
现在谷歌搜索..
