Aussi non technique que possible:
Si vous deviez décrire quoi que ce soit sur qui vous êtes et ce que vous étiez autorisé à voir ou à faire, chacune de ces choses serait quelque chose que vous "prétendiez" être vrai, et donc chaque "chose" sur cette liste serait un " prétendre".
Chaque fois que vous dites à quelqu'un quelque chose sur vous-même ou que vous «prétendez» que vous êtes autorisé à voir ou à faire quelque chose, vous lui remettez votre liste de réclamations. Ils vérifieront auprès d'une autorité que vos affirmations sont vraies et si elles le sont, ils croiront tout ce qui figure sur cette liste de réclamations. Donc, si vous prétendez que vous êtes Brad Pitt, votre liste de réclamations indique que vous êtes Brad Pitt, et il a été vérifié auprès de l'autorité que vos affirmations sont toutes vraies - alors ils croiront que vous êtes Brad Pitt avec rien d'autre dans cette liste.
Revendication : ce que vous prétendez être vrai. Il peut s'agir d'une information ou d'une description d'une autorisation que vous prétendez avoir. Le système auquel vous présentez vos réclamations doit uniquement comprendre ce que signifie la réclamation et être en mesure de vérifier auprès de l'autorité.
Autorité : Le système qui rassemble votre liste de réclamations et la signe qui dit essentiellement: «De mon autorité, tout dans cette liste est vrai». Tant que le système lisant les revendications peut vérifier auprès de l'autorité que la signature est correcte, alors tout ce qui figure dans la liste des revendications sera considéré comme authentique et vrai.
Aussi, ne l'appelons pas «authentification basée sur les revendications», appelons-la plutôt «identité basée sur les revendications».
Un peu plus technique:
Alors maintenant, dans ce processus, vous vous authentifiez en utilisant une sorte de mécanisme (nom d'utilisateur / mot de passe, secret client, certificat, etc.) et cela vous donne un jeton qui prouve que vous êtes qui vous dites être. Ensuite, vous échangez ce jeton d'accès contre un jeton d'identification. Ce processus utilisera votre identité pour rechercher et créer une liste de revendications, la signer, puis vous remettre un jeton d'identification contenant toutes vos revendications.
Au cours de l' étape d' autorisation , selon la façon dont elle est mise en œuvre, la ressource examinera votre jeton d'identification (revendications), puis vérifiera si vous disposez des revendications nécessaires pour accéder à cette ressource.
Ainsi par exemple, si la ressource "CastleBlack / CommandersTower" dit que "vous devez avoir accès au château noir et être le seigneur commandant, alors il va regarder votre liste de revendications pour voir si ces deux choses sont vraies.
Comme vous le voyez, les «revendications» peuvent être n'importe quoi. Cela peut être un rôle, cela peut être un fait, cela peut être un drapeau. C'est juste une liste de paires clé-valeur et la "valeur" est facultative. Parfois, il s'agit simplement de voir si la réclamation existe:
claims : [
{"type": "name", "value": "Jon Snow"},
{"type": "home", "value": "Winterfell, The North, Westeros"},
{"type": "email", "value": "jon@nightswatch-veterans.org"},
{"type": "role", "value": "veteran;deserter;"},
{"type": "department", "value": "none"},
{"type": "allowEntry", "value": "true"},
{"type": "access", "value": "castleblack;eastwatch;"}
]
Donc, si Jon s'est connecté et tente d'accéder à la ressource décrite ci-dessus, il serait refusé car, bien qu'il soit ce qu'il prétend être et qu'il ait accès au château noir, il n'est plus le seigneur commandant et n'a pas non plus un accès explicite à la tour du commandant, et ne peut donc pas entrer implicitement dans la tour du seigneur commandant.
Plus spécifiquement, "CastleBlack" serait probablement une portée [plus large], et chaque zone serait une autorisation spécifique, mais c'est une discussion différente.
La manière dont chaque application traite l'accès sera différente, mais elle utilisera des revendications pour le faire.