Quindi capisco ruoli vs permessi. Capisco anche i ruoli contro le affermazioni. In entrambi i casi, le attestazioni e le autorizzazioni sono granulari, in genere per funzionalità o operazioni aziendali come l'autorizzazione di AddPerson. Ho studiato l'autorizzazione basata sulle attestazioni e gli esempi che mostrano come è "migliore" e di solito lo confronta con un'autorizzazione basata sui ruoli. Ovviamente è meglio perché è il modo sbagliato di usare i ruoli come dovresti usare le autorizzazioni come mappatura tra operazioni e ruoli.
Qual è la distinzione tra l'autorizzazione basata sulle attestazioni e l'autorizzazione basata sui permessi? (le autorizzazioni nota sono diverse dai ruoli, quindi questo non è un duplicato della domanda Role vs Claim)
In entrambi sembra che tu abbia permessi / reclami granulari. Finora gli esempi concreti che ho visto delle affermazioni sono molto simili a quelli che concettualizzerei come permessi. Un esempio che vedo con le affermazioni è il reclamo Add / Person, e sicuramente avrei un permesso simile come permesso di AddPerson. Trovo che di solito ho un livello aziendale con punti di accesso singoli per cose come questa e ogni funzione / punto di accesso richiede un'autorizzazione. In entrambi i casi, il razionale dei permessi / reclami è che nel tempo una determinata identità o ruolo potrebbe cambiare in termini di ciò che è permesso fare. E se hai hardcoded i controlli per quel ruolo all'interno della tua applicazione, devi apportare modifiche al codice per adattarlo, ma se hai usato le attestazioni / permessi, è semplicemente una questione amministrativa di cambiare a quale ruolo è associato. Quindi entrambi sembrano portare gli stessi benefici.
Chiedo a questa domanda di non sembrare che sto sfidando l'idea delle affermazioni. Invece, so che probabilmente avrò un concetto migliore di affermazioni se avessi capito più chiaramente cosa li distingue dalle autorizzazioni.