Assertion
断言是一组信息,可以在各种安全域之间轻松共享身份和安全信息。
它包含有关主题的数据,断言被认为有效的情况,例如何时何地可以使用。
创建或保护断言的实体称为Issuer 。
根据其信息使用断言的实体称为Relying Party 。
断言有两种一般类型。 他们是 -
Bearer Assertions - 任何实体都可以使用断言来获得对相关资源的访问,其中实体可以负责承载断言。
Holder-of-key Assertions - 在这种情况下,如果实体想要访问相关资源,则必须证明拥有其他加密材料。
下图描绘了第三方创建的断言。
Step 1 - 这是客户端首先请求来自第三方实体的断言的第一种情况,第三方实体通常称为“令牌服务”或“安全令牌服务”。 令牌服务能够向客户端发布,更新,验证和转换安全令牌。
Step 2 - 令牌服务通过授予断言来满足客户端的请求。
Step 3 - 令牌服务和依赖方之间存在信任关系。 然后,客户端向依赖方发出断言。
Step 4 - 依赖方验证断言并通知客户端状态。
下图描绘了自行发布的断言。
Step 1 - 这是客户端本身在本地创建断言的第二种情况。 它不必请求来自第三方实体的断言。
Step 2 - 然后客户端将创建的断言发送给依赖方。
Step 3 - 依赖方验证断言并通知客户端状态。
使用断言作为授权授权
使用以下HTTP请求参数时,客户端在使用断言作为授权授予时包含断言和相关信息。
grant_type - 授权服务器定义的断言格式。
assertion - 由配置文件定义的断言的特定序列化。
scope - 令牌的授权先前通过一些带外机制授予,同时交换访问令牌的断言。 在这种情况下,请求的范围必须等于或小于授予授权访问者的原始范围。