Oauth 2.0 SAML与OAuth相比的局限性

我知道SAML是如何工作的，我知道OAuth和OPENIDConnect是如何工作的。我知道SAML用于身份验证，OAuth用于授权。但在某些文章中提到，当2007年iPhone上市时，SAML在这种情况下（对于移动应用程序）缺乏身份验证，我无法理解，除了授权之外，为什么我们需要OAuth来解决移动身份验证问题（现在由OPENIDConnect完成），或者SAML是如何无法解决这个问题的。有人能帮忙解决这个困惑吗。谢谢

OAuth和OpenID Connect是基于JSON的，在任何技术中都能很好地工作，包括web和移动设备

SAML是基于XML的较旧（后端）标准。它仍然在身份提供者中广泛使用，用于用户登录

如今，人们用OAuth和OpenID Connect编写应用程序（UI和API），而从不直接使用SAML。这使得移动应用程序、单页应用程序和API中的代码更加简单

这意味着应用程序与授权服务器（AS）交互。AS可以与身份提供商对话（以支持多种用户登录方式）。如果需要，这可以包括与SAML提供程序的集成

---

另请参阅我关于OAuth应用程序功能的思考。

OAuth和OpenID Connect基于JSON，在任何技术（包括web和移动）中都能很好地工作

SAML是基于XML的较旧（后端）标准。它仍然在身份提供者中广泛使用，用于用户登录

如今，人们用OAuth和OpenID Connect编写应用程序（UI和API），而从不直接使用SAML。这使得移动应用程序、单页应用程序和API中的代码更加简单

这意味着应用程序与授权服务器（AS）交互。AS可以与身份提供商对话（以支持多种用户登录方式）。如果需要，这可以包括与SAML提供程序的集成

---

另请参阅我的关于从应用程序功能的角度思考OAuth的文章。

几天前，我做了这个练习，以确定SAML和OAuth的应用程序。我将把我的发现粘贴在这里

关于-SAML
•认证 •授权（基于索赔规则和断言属性）
•主要针对基于浏览器的登录流设计
•最适合依赖集中式用户存储库的企业应用程序
•本地和云应用程序联合很容易（例如，将用户存储库与云副本同步），在这种情况下，用户属性可以很容易地传递
•属性可以包含连接到另一个第三方应用程序（不推荐）的信息（凭据）
•支持加密断言以提高安全性
•Single Req Res包含断言，避免对IdP的任何额外调用
•用户和授权数据的集中管理
•联合元数据涉及复杂的结构、属性定义、公共证书、签名算法等。
•定期证书展期、CRL管理、索赔规则管理

About-OAuth

•授权 •需要单独的身份验证提供程序（通常与授权服务器结合）
•最适合多域、多用户存储库场景
•有助于控制对单个资源的访问，如帐户详细信息、文件或服务。可以授予临时/永久访问权。
•易于理解，易于集成。减少客户端必须执行的大量额外工作
•资源所有者控制对资源的访问，可以有选择地授予对其他应用程序各种功能的访问权
•将身份验证与业务逻辑分离
•针对不同用例的不同授权类型支持
•一旦获得令牌，SP必须进行额外的API调用以获取必要的信息/资源
•标准化程度低–每个IdP都可以自定义实施，这会在SP端带来定制
•仅依靠HTTPS进行加密，没有为传输的数据定义额外的加密

回答您的问题-您将发现难以应用SAML的地方

•应用程序间通信
•不涉及用户交互的后端作业、调度程序、业务逻辑

---

•与您的组织未管理或控制的外部IDP通信几天前，我做了这个练习，以确定SAML和OAUTH的应用程序。我将把我的发现粘贴在这里

关于-SAML
•认证 •授权（基于索赔规则和断言属性）
•主要针对基于浏览器的登录流设计
•最适合依赖集中式用户存储库的企业应用程序
•本地和云应用程序联合很容易（例如，将用户存储库与云副本同步），在这种情况下，用户属性可以很容易地传递
•属性可以包含连接到另一个第三方应用程序（不推荐）的信息（凭据）
•支持加密断言以提高安全性
•Single Req Res包含断言，避免对IdP的任何额外调用
•用户和授权数据的集中管理
•联合元数据涉及复杂的结构、属性定义、公共证书、签名算法等。
•定期证书展期、CRL管理、索赔规则管理

About-OAuth

•授权 •需要单独的身份验证提供程序（通常与授权服务器结合）
•最适合多域、多用户存储库场景
•有助于控制对单个资源的访问，如帐户de