软件开发人员没有将授权外部化是有原因的吗?
身份外化的价值主张开始增加,许多站点现在接受OpenID,CardSpace或联合身份。但是,许多开发人员尚未采取下一步措施来外部化授权并使用基于 XACML 的方法。
原因是缺乏意识还是别的什么?您希望如何了解基于 XACML 的软件开发方法?
请注意,我问的是授权,而不是身份验证。
答案 1
我认为外部化授权的前景比外部化身份验证(OpenID,CardSpace等)要困难得多。这主要是由于授权更加特定于应用程序。人员A在我的应用程序中被授权做什么,他可能无法在您的应用程序中执行,这甚至假设我的应用程序和您的应用程序之间存在一些共同的parrallel,而这很可能不会。
我不想说外部化授权永远不会完成,但老实说,我很难想出你真正想要这样做的理由。也许对于一套并行工作的应用程序,但同样,这很可能是在内部支持,而不是在外部支持。
答案 2
另外,请记住授权 !== 身份验证。仅仅因为用户已通过身份验证并不意味着您已经解决了网站的授权部分。您仍然需要确定谁可以在何时做什么。
推荐
-
如何更改最近应用程序列表显示的快照? 在较新版本的Android(>3.0)中,有一个屏幕按钮,将显示最近使用的应用程序及其名称和快照的列表。即使我的应用本身受密码保护,此概述也可能在该快照中显示敏感数据。那么有没有办法强
-
-
Diffie-Hellman 在 Java 中的密钥交换 我正在用Java进行一个个人项目,该项目涉及通过不安全的通道发送敏感数据。我需要知道如何使用其库在java中实现Diffie Hellman密钥交换(DHKE)。我知道所有关于它的加密理论,所以不需要详细
-
如何向 Spring MVC 控制器方法添加自定义安全注释 我正在使用Java 8,Spring MVC 4,Spring Boot和Gradle作为我的REST应用程序。 我想通过某些Spring MVC 4控制器中的自定义方法注释为我的REST应用程序添加安全性。 下面是一个基本示例。 主控制器.java
-
标签
推荐