Authentication SSO应该包括授权还是仅包括身份验证？_Authentication_Authorization_Single Sign On

Authentication SSO应该包括授权还是仅包括身份验证？

authentication single-sign-on

Authentication SSO应该包括授权还是仅包括身份验证？,authentication,authorization,single-sign-on,Authentication,Authorization,Single Sign On,我们将开发SSO，它将用于多个web应用程序中的身份验证，这样用户在登录到任何这些应用程序时都可以使用一个帐户我们讨论了是应该在SSO中包含授权，还是每个应用程序应该单独存储授权（角色/权限）以下是一些需要考虑的品脱：授权不是在应用程序之间共享的，每个应用程序都有一组不同的角色和权限，以防在SSO中存储角色，必须针对每个应用程序执行如果我们要在SSO中存储用户角色/权限，我们需要设置API end 获取这些数据或将其同步到每个应用程序的点集中授权是积极的还是消极的没有基于标准的

我们将开发SSO，它将用于多个web应用程序中的身份验证，这样用户在登录到任何这些应用程序时都可以使用一个帐户

我们讨论了是应该在SSO中包含授权，还是每个应用程序应该单独存储授权（角色/权限）

以下是一些需要考虑的品脱：

授权不是在应用程序之间共享的，每个应用程序都有一组不同的角色和权限，以防在SSO中存储角色，必须针对每个应用程序执行
如果我们要在SSO中存储用户角色/权限，我们需要设置API end 获取这些数据或将其同步到每个应用程序的点
集中授权是积极的还是消极的

没有基于标准的方法通过使用标准化的SSO协议来提供授权信息。SSO协议允许提供有关身份的一些信息。你仍然可以提供一些“权利字符串”

标准化的授权协议将是XACML

同意，这有点复杂，但允许您在不更改应用程序的情况下替换集中授权服务

就我个人而言，我会尝试使用基于标准的方法，因为它也可以保护您免受供应商锁定。

就我个人而言，我也会使用集中的方法，因为每个应用程序的“客户端代码”都是类似的，管理可能会更容易。

我喜欢使用标准化授权的想法，但使用一个解决方案进行授权是不可能的，因为每个应用程序都有自己的角色，因此不会在应用程序之间共享任何角色，例如，一个应用程序可能包含编辑角色，其他应用程序不需要此角色，因此每个应用程序都有自己的逻辑/实现，用户可以做什么，