Разница между JWT и SAML?

в чем основное различие между JWT (JSON Web Token) и SAML? Пожалуйста, предложите мне любой пример этого с spring security. Спасибо заранее.

3 ответов


и на основе SAML и JWT - это форматы маркеров безопасности, которые не зависят от какого-либо языка программирования. SAML-это более старый формат и основан на XML. Он обычно используется в протоколах, таких как SAML-P, WS-Trust и WS-Federation (хотя и не строго требуется).

токены JWT (JSON Web Token) основаны на JSON и используются в новых протоколах аутентификации и авторизации, таких как OpenID Connect и OAuth 2.0.


дополнительная информация заключается в том, что SAML-это протокол и формат токена, но JWT-единственный формат токена.


на основе SAML (Sезопасность Assertion Markup Lязык) является открытым стандартом для обмена данными аутентификации и авторизации между сторонами, в частности, между IdP ( Idсущности Provider) и SP (Sпоставщик Provider), и это протоколы идентификации, используемые на предприятии развертывания.

  • An IdP ( Idсущности Provider): аутентифицирует пользователей и предоставляет поставщикам услуг утверждение аутентификации в случае успеха;
  • A SP (Sпоставщик Provider): зависит от поставщика удостоверений для аутентификации пользователей.

SAML в Auth0

JWT в (Jсын Web Token) является открытым стандартом (RFC 7519), который определяет компактный и автономный способ безопасной передачи информации между сторонами в качестве объекта JSON. Эта информация может быть проверена и доверена, поскольку она имеет цифровую подпись. JWTs можно подписать с помощью секрета (с алгоритмом HMAC) или пары открытого/закрытого ключа с помощью RSA.

JWT в Auth0

Usecase:

наиболее важным вариантом использования адресов SAML является единый вход в веб-браузер (SSO). Единый вход в систему относительно легко выполнить в домене безопасности (например, с помощью куки-файлов), но расширение SSO через домены безопасности сложнее и привело к распространению несопоставимых проприетарных технологий. Профиль SSO веб-браузера SAML был определен и стандартизирован для содействия совместимости. (Для сравнения, более поздний OpenID Протокол Connect-это альтернативный подход к SSO веб-браузера.) The ID Token, обычно называют id_token в образцах кода - это веб-маркер JSON (JWT), содержащий информацию о профиле пользователя.