有關SAML，OAuth的問題

Question

我正在開發一個項目，以在系統中實施基於令牌的認證。我正在考慮使用SAML或OAuth。

我想知道是否有可能在令牌中表示實際的策略（這是基於ACL的系統）。在當前的設計中，我一直在考慮給用戶一個包含所有資源和允許角色的令牌。該服務根據用戶的請求檢查該令牌，以查看用戶是否對涉及的資源具有所需的許可。

是否可以使用SAML/OAuth標記表示？如果兩者都有可能，那麼應該在這裏使用哪一個。從我看到的大多數示例中，SAML用於SSO解決方案，OAuth用於定義實際授權策略。但是從演示/示例中不清楚是否可以使用OAuth對特定資源進行限制訪問。

例如當Facebook應用程序想要使用OAuth訪問您的照片時，是否可以將訪問權限限制爲某個特定相冊？或者更像是所有或沒有辦法。是否有任何資源可以閱讀以獲取更多信息？

Answer 1

大多數體系結構（對於SAML和OAuth）都使用包含依賴方（或接收API）解釋並應用其自己的策略（ACL）的屬性的令牌。

對於OAuth，範圍用於指定訪問令牌代表的權限。範圍可以像你喜歡的一樣細緻（包括單個相冊限制等情況）。這些可能已由用戶在某些OAuth流中授權。令牌本身並未在OAuth 2.0規範中定義 - 但您可以使格式自包含（可能由令牌頒發者進行數字簽名），以便將範圍保存在其中。有些模型使用不透明的令牌，需要通過回調（可能是反向渠道）向發行者進行驗證，然後將範圍返回給依賴方。

在SAML中，出於類似目的，屬性聲明可以出現在斷言中。依賴方解釋個人屬性以確定用戶被授權執行的操作。屬性聲明可以作爲SSO的一部分，或者可以通過AttributeQuery在稍後的某個點（認證後）獲得。