WIF基本原理(5)WIF的功能简介

WIF基本原理(5WIF的功能简介

 

WIFWindows Identity Foundation)是用于构建标识应用程序框架。该框架将 WS-Trust WS-Federation 协议抽象化,并向开发人员呈现用于构建安全令牌服务和声明感知应用程序 API应用程序可以使用 WIF 处理安全令牌服务颁发令牌,并在 Web 应用程序或 Web 服务中,根据标识做出决策。

WIF具有以主要功能:

1)        构建声明感知应用程序(信赖方应用程序)。

WIF可帮助开发人员构建声明感知应用程序。 提供新声明模型,它还为应用程序开发人员提供一组丰富 API,帮助们根据声明做出用户访问决策。无论开发人员选择在 ASP.NET 还是 WCF环境构建应用程序,WIF都为们提供一致编程体验。

2)        Visual Studio模板。

WIF提供适用于声明感知 ASP.NET 网站和 WCF Web 服务应用程序内置 Visual Studio 模板,可缩短熟悉基于声明编程模型学习时间。

3)        在声明感知应用程序和 STS之间轻松建立信任。

WIF提供一个名为 FedUtil 实用工具,允许在声明感知应用程序和 STS(如 ADFS 2.0 LiveID STS)之间轻松建立信任。FedUtil支持ASP.NET WCF 应用程序。它还与Visual Studio 集成,这样在解决方案资源管理器中右键单击项目,然后选择添加STS引用菜单项即可调用,或者在 Visual Studio 中通过工具菜单调用。

4)        ASP.NET 控件。

ASP.NET 控件可简化ASP.NET页面开发,该页面用于构建声明感知 Web应用程序。

5)        声明和 NT 令牌之间转换。

WIF包括一个Windows服务,该服务可作为声明感知应用程序和基于NT令牌应用程序之间桥梁。 它为开发人员提供声明转换NT令牌标识简单方法,得以从声明感知应用程序访问需要基于 NT 令牌标识资源。

6)        在声明感知应用程序中构建标识委派支持。

WIF提供跨多个服务边界保持原始请求者标识功能。在框架中使用“ActAs”“OnBehalfOf”函数可实现此功能,开发人员可利用此功能在声明感知应用程序中添加标识委派支持。

7)        构建自定义安全令牌服务 (STS)

WIF使得构建支持 WS-Trust 协议自定义安全令牌服务 (STS) 变得极其容易。此类STS也被称为主动 STS

此外,该框架还为构建另一类 STS 提供支持,该STS支持 WS-Federation 以启用 Web 浏览器客户端。此类STS也被称为被动STS

WIF主要支持以方案:

方案1      联合身份验证。

WIF可在两个或多个伙伴间构建联合身份验证。 它对构建声明感知应用程序 (RP) 和自定义安全令牌服务 (STS) 支持可帮助开发人员实现此身份验证方案。

方案2      标识委派。

通过WIF可轻松跨服务边界维护标识,以便开发人员可实现标识委派身份验证方案。

方案3      升级身份验证。

应用程序内不同资源身份验证要求可能各不相同。 使用 WIF,开发人员可以构建可能需要增量身份验证要求应用程序,例如:初始登录时使用用户名/密码身份验证,然后升级至智能卡身份验证。

通过使用 WIF,可以更轻松地从本主题所述基于声明标识模型中获益。

WIF令牌类型包括:SAML 1.1SAML 2.0X.509UPNWindowsKerberos NTLM)、RSA密钥对。

WIF身份验证类型包括:密码、KerberosSecureRemotePasswordTLSClientX.509PGPSpkiXmlDSig、未指定。

------------------------注:本文部分内容改编自《.NET 安全揭秘》

posted @ 2012-06-24 17:29  玄魂  阅读(2524)  评论(0编辑  收藏  举报