OAuth 2.0 - 斷言

斷言是一組資訊，它可以更輕鬆地在各種安全域之間共享身份和安全資訊。

它包含有關主體的資料，以及斷言被認為有效的情況，例如它可以在哪裡以及何時使用。

建立或保護斷言的實體稱為發行者。

根據其資訊使用斷言的實體稱為依賴方。

斷言通常有兩種型別。它們是 -

• 持有者斷言 - 任何實體都可以使用斷言來獲取對相關資源的訪問許可權，其中一個實體可以負責持有者斷言。

• 金鑰持有者斷言 - 在這種情況下，如果實體想要訪問相關資源，則必須證明擁有額外的加密材料。

下圖描述了第三方建立的斷言。

步驟 1 - 這是第一種情況，客戶端首先向第三方實體請求斷言，該實體通常稱為“令牌服務”或“安全令牌服務”。令牌服務能夠向客戶端發出、續訂、驗證和轉換安全令牌。

步驟 2 - 令牌服務透過授予斷言來滿足客戶端的請求。

步驟 3 - 令牌服務和依賴方之間存在信任關係。然後，客戶端向依賴方發出斷言。

步驟 4 - 依賴方驗證斷言並通知客戶端狀態。

下圖描述了自發行的斷言。

步驟 1 - 這是第二種情況，客戶端本身在本地建立斷言。它不必向第三方實體請求斷言。

步驟 2 - 然後，客戶端向依賴方發出建立的斷言。

步驟 3 - 依賴方驗證斷言並通知客戶端狀態。

使用斷言作為授權授予

使用以下 HTTP 請求引數，客戶端在將斷言用作授權授予時包含斷言和相關資訊。

• grant_type - 由授權伺服器定義的斷言格式。

• assertion - 由配置檔案文件定義的斷言的特定序列化。

• scope - 令牌的授權先前是透過某些帶外機制在交換斷言以獲取訪問令牌時授予的。在這種情況下，請求的範圍必須等於或小於授予授權訪問者的原始範圍。