角色与基于身份的认证？有什么关系？

Question

基于角色的认证和基于身份的认证之间有什么区别？如果一个系统只使用密码机制来验证操作符(对于管理员和用户来说是不同的PIN )，那么就说它使用了“标识”或“基于角色的”身份验证？

系统提示操作员输入密码(不询问用户名)，然后根据输入的密码(用户或管理员)为这两个角色提供不同的服务，如果密码不匹配，则不提供服务。

这个机制是否真的可以被认为是身份认证，因为身份认证只能基于对PIN的知识进行认证？

此外，FIPS140安全标准在第2级使用“基于角色的身份验证”，对于第3级使用“基于身份的身份验证”(http://en.wikipedia.org/wiki/FIPS_140)。在FIPS140标准中，每一次使用中是否出现上述角色或身份验证的情况？

基于角色的认证方案有哪些示例？

Answer 1

角色倾向于附加到标识，因为您不对角色进行身份验证，而是对身份进行身份验证。您可以授权一个身份，也可以授权一个角色。我相信这里可能有些混乱。

角色是标识的扩展，它的工作方式通常是用户'Admin‘具有'Administrator’角色。具有“管理员”角色的用户具有与具有“标准用户”角色的用户不同的权限。身份通常具有多个角色的能力，因此管理用户可能具有角色“管理员”和角色“标准用户”，因此具有与这两个角色相关联的权限。

密码通常与标识相关联，因此您将根据身份验证密码。如果没有用户名字段，执行密码验证的后端系统可能会进行查找，将所有密码(或者更可能只是查找密码的明文)与其关联用户进行比较。

这假设角色甚至被使用。如果没有使用角色，则授权只是针对身份本身；例如，如果用户==‘管理员’允许管理事务。

Answer 2

“基于角色的认证”不是行业术语。也许您把它与基于角色的访问控制混淆了，它是一种基于用户“角色”而不是他的身份来控制对函数的访问的方法。

例如，博客系统可能定义“作者”角色和“编辑器”角色。“作者”可能有权创作新的故事，但不能发表它们。编辑器将有权审查和修改，并发布现有的故事。

任何给定的用户都可以永久地“属于”一个或多个角色，或者在给定会话期间临时获得角色授权。

但关键的是，权限和功能从未直接分配给用户，而是始终分配给角色。用户通过担任指定角色间接获得该权限。同样，一个人的凭据与用户帐户而不是角色相关联。如下所示：

+-------+    +------+    +------+    +------------+
| human |===>| User |===>| Role |===>| permission |
+-------+    +------+    +------+    +------------+

您所描述的系统，仅由密码决定的身份和访问，并不是一个基于角色的系统，而是一个没有用户名的基于用户的系统。听起来是个特别糟糕的主意。

Answer 3

我想说的是，这里的术语很混乱。

在大多数情况下，这与其说是身份验证，不如说是授权。具体来说，您有一个场景，其中权限是基于角色的(一组管理权限相对于一组用户权限)，它受到质询/响应身份验证机制的保护。因为验证是共享密码，所以您没有对个人进行身份验证，因此不存在身份或角色成员的概念，至少在这个特定的系统中没有实现这个概念。