Tan poco técnico como sea posible:
Si tuviera que describir algo acerca de quién es y qué se le permitió ver o hacer, cada una de esas cosas sería algo que "afirmaba" que era verdad, y por lo tanto cada "cosa" en esa lista sería un " Reclamación".
Cada vez que le cuenta a alguien algo sobre usted o "reclama" que se le permite ver o hacer algo, le entrega su lista de reclamaciones. Verificarán con una autoridad que sus reclamos son ciertos y si lo son, creerán cualquier cosa en esa lista de reclamos. Entonces, si afirma que es Brad Pitt, su lista de reclamos dice que es Brad Pitt, y se verificó con la autoridad de que sus reclamos son ciertos, entonces creerán que usted es Brad Pitt junto con cualquier otra cosa en esa lista.
Reclamación : lo que afirmas ser cierto Esto puede ser una información o una descripción de un permiso que está reclamando tener. El sistema al que presenta sus reclamos solo necesita comprender qué es / significa el reclamo y también poder verificar con la autoridad.
Autoridad : el sistema que reúne su lista de reclamos y la firma, que básicamente dice "Por mi autoridad, todo en esta lista es verdadero". Mientras el sistema que lee los reclamos pueda verificar con la autoridad que la firma es correcta, entonces todo en la lista de reclamos se considerará auténtico y verdadero.
Además, no lo llamemos "autenticación basada en notificaciones", sino que la llamemos "identidad basada en notificaciones".
Ligeramente más técnico:
Entonces, ahora en este proceso, se autentica utilizando algún tipo de mecanismo (nombre de usuario / contraseña, secreto del cliente, certificado, etc.) y eso le da un token que demuestra que usted es quien dice ser. Luego, intercambia ese token de acceso por un token de ID. Ese proceso utilizará su identidad para encontrar y crear una lista de reclamos, firmarla y luego devolverle un token de identificación que tenga todos sus reclamos.
Como paso de autorización , dependiendo de cómo se implemente, el recurso examinará su token de identificación (reclamos) y luego comprobará si tiene los reclamos necesarios para acceder a ese recurso.
Entonces, por ejemplo, si el recurso "CastleBlack / CommandersTower" dice que "tienes que tener acceso al castillo negro y ser el señor comandante, entonces verás tu lista de reclamos para ver si ambas cosas son ciertas.
Como puede ver, los "reclamos" pueden ser cualquier cosa. Puede ser un rol, puede ser un hecho, puede ser una bandera. Es solo una lista de pares clave-valor y el "valor" es opcional. A veces se trata solo de ver si existe el reclamo:
claims : [
{"type": "name", "value": "Jon Snow"},
{"type": "home", "value": "Winterfell, The North, Westeros"},
{"type": "email", "value": "jon@nightswatch-veterans.org"},
{"type": "role", "value": "veteran;deserter;"},
{"type": "department", "value": "none"},
{"type": "allowEntry", "value": "true"},
{"type": "access", "value": "castleblack;eastwatch;"}
]
Entonces, si Jon inicia sesión e intenta acceder al recurso descrito anteriormente, se le negaría porque, aunque es quien dice ser y tiene acceso al castillo negro, ya no es el señor comandante ni tiene acceso explícito a la torre del comandante, y por lo tanto no puede entrar implícitamente en la torre del señor comandante.
Más específicamente, "CastleBlack" probablemente sería un alcance [más grande], y cada área sería un permiso específico, pero esa es una discusión diferente.
La forma en que cada aplicación maneje el acceso será diferente, pero usará reclamos para hacerlo.