我正在开发一个项目以在系统中实现基于令牌的身份验证。我正在考虑使用 SAML 或 OAuth。
我想知道是否可以在令牌中表示实际的策略(基于系统的 ACL)。对于当前的设计,我正在考虑给用户一个包含所有资源和允许角色的令牌。该服务根据用户的请求检查此令牌以查看用户是否对所涉及的资源具有所需的权限。
是否可以使用 SAML/OAuth 令牌来表示?如果两者都可以,这里应该使用哪一个。从我看到的大多数示例中,SAML 用于 SSO 解决方案,而 OAuth 用于定义实际的授权策略。但是从演示/示例中不清楚是否可以使用 OAuth 对特定资源进行限制性访问。
例如,当 Facebook 应用程序想要使用 OAuth 访问您的照片时,是否可以限制仅访问特定相册?还是更像是全有或全无的方法。我可以阅读任何资源以获取更多信息吗?