クレームベースの認証：文字列はクレームの本質ですか？

Question

私はしばらくの間、クレームベースの認証を使用してプログラミングしています Windows Identity Foundation.

それは私にはそうです Windows Identity Foundation, 、ユーザーがログインすると、クレームは基本的にユーザーを説明する情報の文字列です。

古いロールベースの認証を使用すると、ユーザーは特定のグループのメンバーであるか、そうではないと言えますが、クレームベースの認証では、ユーザーを説明する情報の文字列を持つことができます。 「このユーザーは女性です」。このユーザーは「1975年7月6日」に生まれました。 「このユーザーはUSBキーを使用してログインしました」。

クレームベースの認証の本質ですか、フレームワークによってアプリケーションに与えられたユーザーに関する情報の文字列がありますか？

Answer 1

クレームは、主題がアプリケーションと相互作用することに関する属性であり、 なんでも. 。あなたが与えたすべての例は本質的に正しいです。

そのため、単なる運転承認ルール以上の請求を使用できます。また、たとえばユーザープロファイル情報を表すこともできます。ロールメンバーシップは、単なる別の属性です（ほとんどの場合、アクセス制御に使用されます）。

カップルの観察：

• 微妙であるが非常に重要な違いは、信頼できる権威あるエンティティ（STS）によって請求が発行されることです。クレームの起源は、クレーム自体と同じくらい重要です。簡単な例を使用するには、MicrosoftのSTSが発行したトークンを「Title = Program Manager」という主張で送信する場合、Microsoftで働いているPMであるという確実性が高いでしょう。言い換えれば、あなたが得る属性の忠実度と、あなたが発行者にかける信頼のレベルとの間には相関関係があります。
• WIFでは、値は「文字列」（.NETタイプのように）として実装されていますが、任意の（シリアル化可能な）オブジェクトである可能性があります。役割、グループ、名前などの単純なものについては、値を使用するだけです。他のより複雑なタイプの場合、何らかの脱介入が必要になります。