验证!=授权
身份验证和授权听起来可能很相似,但是在身份和访问管理领域中,两者都是不同的安全过程,因此了解这两个概念之间的差异是成功实施良好的IAM解决方案的关键。
身份验证是验证自己的行为,而授权是验证您可以访问的内容的过程,因此在单个解决方案中将身份和访问管理结合起来并不是一个好方法。 身份验证对于在所有应用程序中提供通用身份确实是一件好事,而授权在每个应用程序中都有所不同,因此,出于这些原因,我们应该对它们进行独立对待。
看到人们如何通过向令牌中添加权限来滥用OIDC服务器是很常见的,而这种方法是错误的解决方案有很多原因:
权限取决于每个应用程序,有时还取决于复杂的业务规则。
权限可能会在用户会话期间更改,因此,如果您使用的是JWT令牌,则必须等到令牌的生存期到期后才能检索具有最新权限的新令牌。
您应该使令牌保持较小,因为我们有一些众所周知的限制,例如URL路径长度限制,带
评论0