Ho letto delle differenze tra le funzionalità e gli elenchi di controllo degli accessi, ma per me le funzionalità sembrano simili alle affermazioni. Qualcuno può spiegare la differenza, se ce n'è una?
Le attestazioni e le funzionalità sono entrambi token supportati dall'evidenza, ma sono totalmente diversi in termini di intenti.
In un modello di controllo degli accessi basato sulle funzionalità, una funzionalità è un token che dimostra una capacità, ovvero il diritto di eseguire un'azione su un oggetto. Una cosa importante da notare qui è che la capacità non non contiene alcuna nozione di identità, ma piuttosto il permesso stesso. Il possesso del token di capacità è considerato una prova per poter eseguire un'operazione.
Le affermazioni sono simili, ma riguardano identità . Un'affermazione dice "Io sono questa persona" e di solito è composta da serie di prove per dimostrare questo fatto. I token Kerberos funzionano su questo modello. I reclami vengono combinati con gli elenchi di controllo di accesso (ACL) applicati agli oggetti. Un ACL potrebbe dire "l'utente X ha il permesso Y per questo oggetto". L'utente fa un reclamo per essere utente X e fornisce prove per dimostrare questo fatto. Se la prova è accettata, è autorizzata a eseguire operazioni che richiedono il permesso Y.
In sintesi, la differenza principale è che una capacità è un token che fornisce la prova di essere autorizzato a eseguire un'azione privilegiata, mentre un claim è un token che fornisce prova di identità, che a sua volta può essere utilizzata per mostrare la prova di essere autorizzato a eseguire un'azione nel contesto di un particolare ACL.
Leggi altre domande sui tag access-control capabilities