两者都用于在各方之间交换身份验证和授权数据,但格式不同。SAML是一种标记语言(如XML),而JWT是JSON。
SAML(小号 ecurity甲 ssertion中号 arkup大号 anguage)是一个开放标准用于交换认证和授权数据betweenbetween安全域,即的IdP(标识实体 P rovider)和 SP(小号 ervice P rovider)。
JWT( Ĵ SON W¯¯ EB Ť奥肯)是一个开放标准(RFC 7519),用于定义作为JSON对象各方之间安全地传送的信息的紧凑和自包含方式。由于此信息是经过数字签名的,因此可以被验证和信任。可以使用秘密(使用HMAC算法)或使用RSA的公/私钥对对JWT进行签名。
用例:
SAML地址最重要的单个用例是Web浏览器单点登录(SSO,即登录一次即可获得令牌,而无需登录其他服务)。单一登录在安全域内相对容易实现(例如,使用cookie),但是在安全域内扩展SSO则更加困难,并且导致不可互操作的专有技术的泛滥。已指定并标准化了SAML Web浏览器SSO配置文件以促进互操作性。(作为比较,较新的OpenID Connect协议是Web浏览器SSO的替代方法。)ID令牌(通常
id_token在代码示例中称为ID)是包含用户配置文件信息的JSON Web令牌(JWT)。
| 归档时间: |
|
| 查看次数: |
27432 次 |
| 最近记录: |