WIF基本原理(5)WIF的功能簡介

2021-09-08 03:40:36 字數 2713 閱讀 7858

wif(

windows

identity foundation

)是用於構建標識應用程式的框架。該框架將

ws-trust

和ws-federation

協議抽象化,並向開發人員呈現用於構建安全令牌服務和宣告感知應用程式的

api。

應用程式可以使用

wif處理安全令牌服務頒發的令牌,並在

web應用程式或

web服務中,根據標識做出決策。

wif具有以下主要功能:

1)構建宣告感知應用程式(信賴方應用程式)。

wif可幫助開發人員構建宣告感知應用程式。

除了提供新的宣告模型,它還為應用程式開發人員提供了一組豐富的

api,幫助他們根據宣告做出使用者訪問決策。無論開發人員選擇在

asp.net

還是wcf

環境下構建應用程式,

wif都為他們提供一致的程式設計體驗。

2)visual studio

模板。

wif提供了適用於宣告感知

asp.net

**和wcf

web服務應用程式的內建

visual studio

模板,可縮短熟悉基於宣告的程式設計模型的學習時間。

3)在宣告感知應用程式和

sts之間輕鬆建立信任。

wif提供了乙個名為

fedutil

的實用工具,允許在宣告感知應用程式和

sts(如

adfs 2.0

和liveid sts

)之間輕鬆建立信任。

fedutil

支援asp.net

和wcf

應用程式。它還與

visual studio

整合,這樣在解決方案資源管理器中右鍵單擊專案,然後選擇「新增

sts引用

」選單項即可呼叫,或者在

visual studio

中通過「工具」

選單呼叫。

4)asp.net

控制項。

asp.net

控制項可簡化

asp.net

頁面的開發,該頁面用於構建宣告感知

web應用程式。

5)宣告和nt

令牌之間的轉換。

wif包括乙個

windows

服務,該服務可作為宣告感知應用程式和基於

nt令牌的應用程式之間的橋梁。

它為開發人員提供了將宣告轉換為

nt令牌標識的簡單方法,得以從宣告感知應用程式訪問需要基於

nt 令牌的標識的資源。

6)在宣告感知應用程式中構建標識委派支援。

wif提供了跨多個服務邊界保持原始請求者標識的功能。在框架中使用

「actas」

或「onbehalfof」

函式可實現此功能,開發人員可利用此功能在宣告感知應用程式中新增標識委派支援。

7)構建自定義安全令牌服務

(sts)。

wif使得構建支援

ws-trust

協議的自定義安全令牌服務

(sts)

變得極其容易。

此類sts

也被稱為主動

sts。

此外,該框架還為構建另一類

sts提供支援,該

sts支援

ws-federation

以啟用web

瀏覽器客戶端。

此類sts

也被稱為被動

sts。

wif主要支援以下方案:

方案1

聯合身份驗證。

wif可在兩個或多個夥伴間構建聯合身份驗證。

它對構建宣告感知應用程式

(rp)

和自定義安全令牌服務

(sts)

的支援可幫助開發人員實現此身份驗證方案。

方案2

標識委派。

通過wif

可輕鬆跨服務邊界維護標識,以便開發人員可實現標識委派身份驗證方案。

方案3

公升級身份驗證。

應用程式內不同資源的身份驗證要求可能各不相同。

使用wif

,開發人員可以構建可能需要增量身份驗證要求的應用程式,例如:初始登入時使用使用者名稱

/密碼身份驗證,然後公升級至智慧卡身份驗證。

通過使用

wif,可以更輕鬆地從本主題所述的基於宣告的標識模型中獲益。

wif令牌型別包括:

saml

1.1、

saml

2.0、

x.509

、upn

、windows

(kerberos

或ntlm

)、rsa

金鑰對。

wif身份驗證型別包括:密碼、

kerberos

、secureremotepassword

、tlsclient

、x.509

、pgp

、spki

、xmldsig

、未指定。

------------------------

注:本文部分內容改編自《

.net

安全揭秘》

WIF基本原理(1)標識庫

wif 是乙個開發框架,該框架整合了基於標識的安全模型和方案以及實現細節。wif給我們帶來的好處主要有三點 q基於宣告的標識處理方式。q使業務邏輯與認證 授權徹底分離。q可供學習和擴充套件的安全架構。本系列主要 它的基本原理,從中學習構建乙個安全框架的基本要素和方法。重要的是從它的基本原理,了解標識...

WIF基本原理(1)標識庫

wif是乙個開發框架,該框架整合了基於標識的安全模型和方案以及實現細節。wif給我們帶來的好處主要有三點 q基於宣告的標識處理方式。q使業務邏輯與認證 授權徹底分離。q可供學習和擴充套件的安全架構。本系列主要 它的基本原理,從中學習構建乙個安全框架的基本要素和方法。重要的是從它的基本原理,了解標識安...

WIF基本原理(4)聯合身份驗證例項

本例項要實現合作夥伴員工通過單一登入來嘗試訪問其他合作夥伴域中的資源。聯合身份驗證方案中有三個主要角色 標識提供方 宣告提供方和信賴方。wif會提供 api 來構建所有這三個角色。圖15 11 說明了典型的聯合身份驗證方案。在此方案中,fabrikam 員工希望無需重新登入即可訪問 contoso....