Mümkün olduğunca teknik olmayan:
Kim olduğunuz ve ne görmenize ya da yapmanıza izin verildiği hakkında bir şey açıklayacak olsaydınız, bu şeylerin her biri "doğru olduğunu" iddia ettiğiniz bir şey olurdu ve bu nedenle bu listedeki her "şey" bir " İddia".
Birisine kendiniz hakkında bir şey söylediğinizde veya bir şey görmenize veya yapmanıza izin verildiğini "iddia ettiğinizde" onlara iddia listenizi verirsiniz. Bir otorite ile taleplerinizin doğru olduğunu doğrulayacaklar ve eğer öyleyse, iddia listesindeki herhangi bir şeye inanacaklardır. Yani Brad Pitt olduğunuzu iddia ederseniz, talep listeniz Brad Pitt olduğunuzu söylüyor ve iddialarınızın hepsinin doğru olduğu otoritesi ile doğrulandı - o zaman Brad Pitt ile birlikte olduğuna inanacaklar listedeki başka herhangi bir şey.
İddia : doğru olduğunu iddia ettiğiniz şey. Bu, bir bilgi parçası veya sahip olduğunuzu iddia ettiğiniz bir iznin açıklaması olabilir. Taleplerinizi sunduğunuz sistemin sadece talebin / araçların ne olduğunu anlaması ve ayrıca otorite ile doğrulayabilmesi gerekir.
Otorite : Talepler listenizi bir araya getiren ve temelde "Yetkime göre, bu listedeki her şey doğrudur" diyen sistem. Talepleri okuyan sistem, imzanın doğru olduğunu otorite ile doğrulayabildiği sürece, talep listesindeki her şey gerçek ve doğru olarak kabul edilecektir.
Ayrıca, buna "talep tabanlı kimlik doğrulama" demeyelim, bunun yerine "talep tabanlı kimlik" diyelim.
Biraz daha teknik:
Şimdi bu süreçte, bir çeşit mekanizma (kullanıcı adı / şifre, istemci sırrı, sertifika vb.) Kullanarak kimlik doğrulaması yaparsınız ve bu size söylediğiniz kişi olduğunuzu kanıtlayan bir jeton verir. Ardından, bir erişim belirteci için bu erişim belirtecini alıp verirsiniz. Bu işlem, bir talep listesi bulmak ve oluşturmak, imzalamak ve ardından tüm taleplerinizin bulunduğu bir kimlik belirtecini size geri vermek için kimliğinizi kullanır.
Gibi yetkilendirme aşaması, nasıl uygulandığı bağlı olarak kaynak, kimlik jetonu (iddialar) bakmak ve kaynak olduğunu erişim için gerekli iddiaları varsa o zaman kontrol edecektir.
Örneğin, "CastleBlack / CommandersTower" kaynağı "kale karasına erişmeniz ve efendi komutan olmanız gerektiğini söylüyorsa, o zaman her ikisinin de doğru olup olmadığını görmek için talepler listenize bakacaktır.
Gördüğünüz gibi, "iddialar" herhangi bir şey olabilir. Bir rol olabilir, bir gerçek olabilir, bir bayrak olabilir. Bu sadece anahtar / değer çiftlerinin bir listesidir ve "değer" isteğe bağlıdır. Bazen sadece iddianın var olup olmadığını görmekle ilgilidir:
claims : [
{"type": "name", "value": "Jon Snow"},
{"type": "home", "value": "Winterfell, The North, Westeros"},
{"type": "email", "value": "jon@nightswatch-veterans.org"},
{"type": "role", "value": "veteran;deserter;"},
{"type": "department", "value": "none"},
{"type": "allowEntry", "value": "true"},
{"type": "access", "value": "castleblack;eastwatch;"}
]
Jon giriş yaptıysa ve yukarıda açıklanan kaynağa erişmeye çalışırsa, reddedilecekti, çünkü onun söylediği kişi olduğu ve kale karasına erişimi olduğu için artık lord komutanı değil, komutanın kulesi ve dolayısı ile lord komutanın kulesine dolaylı olarak giremez.
Daha spesifik olarak, "CastleBlack" muhtemelen [daha geniş] bir kapsam olacaktır ve her alan belirli bir izin olacaktır, ancak bu farklı bir tartışmadır.
Her uygulamanın erişim ile nasıl başa çıkacağı farklı olacaktır, ancak bunu yapmak için talepleri kullanacaktır.