Грант на авторизацию подтверждения личности ( ietf.org )
Может кто-нибудь привести пример практического использования этого? Звучит не так уж и плохо, просто мне сложно представить, где это можно использовать.
В больших системах часто случается так, что две системы не имеют общего подключения к центральному серверу аутентификации.
В этой спецификации описывается, как пользователь, вошедший в одну систему, автоматически входит в другую систему с использованием криптографически подписанных токенов.
Это необходимо?
Во-первых, тот факт, что вы вошли в одну учетную запись, не означает, что вы намерены войти и в другую.
Во-вторых, это можно сделать с помощью X.509: если есть сертификат, который обе системы допускают для аутентификации, то те сертификаты, которые выдаются этим сертификатом, могут использоваться и другой системой.
Третье, что частичное делегирование авторизации также возможно по X.509, и это также может быть использовано для действий от имени пользователя (что, кажется, также упоминается в статье). Это будет работать следующим образом:
1. Клиент использует ранее выданный ему сертификат для выдачи сертификата серверу (содержащего открытый ключ сервера, который клиент уже знает, поскольку сервер также имеет сертификат X.509). Этот сертификат будет содержать расширение для указания авторизации.
2. Затем сервер действует как клиент, используя выданный сертификат для аутентификации на другом сервере.
3. Другой сервер проверяет цепочку сертификатов и предоставляет авторизацию в соответствии с взаимодействием авторизаций, разрешенных каждым сертификатом в цепочке (т. е. операция должна быть авторизована каждым сертификатом в цепочке, чтобы быть авторизованной цепочкой).
(Что-то вроде мелкозернистых персональных токенов доступа GitHub было бы похоже, за исключением того, что клиент выдает сертификат себе, а не другому серверу. Вы также можете выдать сертификат себе, не ограничивая разрешения, например, в случае, если вы хотите сохранить закрытый ключ первого сертификата на отдельном компьютере, не подключенном к Интернету, чтобы снизить вероятность его взлома.)
Source: news.ycombinator.com