Authentication SSO应该包括授权还是仅包括身份验证?
我们将开发SSO,它将用于多个web应用程序中的身份验证,这样用户在登录到任何这些应用程序时都可以使用一个帐户 我们讨论了是应该在SSO中包含授权,还是每个应用程序应该单独存储授权(角色/权限) 以下是一些需要考虑的品脱:Authentication SSO应该包括授权还是仅包括身份验证?,authentication,authorization,single-sign-on,Authentication,Authorization,Single Sign On,我们将开发SSO,它将用于多个web应用程序中的身份验证,这样用户在登录到任何这些应用程序时都可以使用一个帐户 我们讨论了是应该在SSO中包含授权,还是每个应用程序应该单独存储授权(角色/权限) 以下是一些需要考虑的品脱: 授权不是在应用程序之间共享的,每个应用程序都有 一组不同的角色和权限,以防 在SSO中存储角色,必须针对每个应用程序执行 如果我们要在SSO中存储用户角色/权限,我们需要设置API end 获取这些数据或将其同步到每个应用程序的点 集中授权是积极的还是消极的 没有基于标准的
- 授权不是在应用程序之间共享的,每个应用程序都有 一组不同的角色和权限,以防 在SSO中存储角色,必须针对每个应用程序执行
- 如果我们要在SSO中存储用户角色/权限,我们需要设置API end 获取这些数据或将其同步到每个应用程序的点
- 集中授权是积极的还是消极的
就我个人而言,我也会使用集中的方法,因为每个应用程序的“客户端代码”都是类似的,管理可能会更容易。我喜欢使用标准化授权的想法,但使用一个解决方案进行授权是不可能的,因为每个应用程序都有自己的角色,因此不会在应用程序之间共享任何角色,例如,一个应用程序可能包含编辑角色,其他应用程序不需要此角色,因此每个应用程序都有自己的逻辑/实现,用户可以做什么,