Qual è la differenza tra rivendicazioni e capacità nel controllo degli accessi?

2

Ho letto delle differenze tra le funzionalità e gli elenchi di controllo degli accessi, ma per me le funzionalità sembrano simili alle affermazioni. Qualcuno può spiegare la differenza, se ce n'è una?

    
posta Sammi 10.06.2015 - 11:46
fonte

1 risposta

3

Le attestazioni e le funzionalità sono entrambi token supportati dall'evidenza, ma sono totalmente diversi in termini di intenti.

In un modello di controllo degli accessi basato sulle funzionalità, una funzionalità è un token che dimostra una capacità, ovvero il diritto di eseguire un'azione su un oggetto. Una cosa importante da notare qui è che la capacità non non contiene alcuna nozione di identità, ma piuttosto il permesso stesso. Il possesso del token di capacità è considerato una prova per poter eseguire un'operazione.

Le affermazioni sono simili, ma riguardano identità . Un'affermazione dice "Io sono questa persona" e di solito è composta da serie di prove per dimostrare questo fatto. I token Kerberos funzionano su questo modello. I reclami vengono combinati con gli elenchi di controllo di accesso (ACL) applicati agli oggetti. Un ACL potrebbe dire "l'utente X ha il permesso Y per questo oggetto". L'utente fa un reclamo per essere utente X e fornisce prove per dimostrare questo fatto. Se la prova è accettata, è autorizzata a eseguire operazioni che richiedono il permesso Y.

In sintesi, la differenza principale è che una capacità è un token che fornisce la prova di essere autorizzato a eseguire un'azione privilegiata, mentre un claim è un token che fornisce prova di identità, che a sua volta può essere utilizzata per mostrare la prova di essere autorizzato a eseguire un'azione nel contesto di un particolare ACL.

    
risposta data 10.06.2015 - 12:25
fonte

Leggi altre domande sui tag