为WIF创建定制授权提供程序，允许对唯一项目进行身份验证

Question

我们正在实施联合身份管理，并且有一个用户需要根据唯一标识的项目进行身份验证的方案。比如鲍勃可能读了访问记录12345，34444，23443和23443，而简可能已经阅读记载12345，34444 /写访问，以及23443和读取访问记录56445.

我有两个问题：

1. 比方说，有人可以访问一百或一千个单独和独特的记录。对于基于声明的安全性，我知道传入的安全令牌将包含所有这些声明。令牌的大小是否会成为问题？

2. 我没有看到关于创建管理授权的管理系统的很多指导，即在我们的情况下将用户分配给经过验证的记录。我看到许多关于尽可能使授权声明成为可能的建议，但在不可能的情况下，不知道该怎么做。

任何意见或方向，非常感谢。

Answer 1

关于＃1：是的，如果您将权利建模为声明（例如，用户有权访问每条记录的声明），则可能最终得到一个非常大的标记。如果您有100,000条记录，那么您可能会收到100,000条索赔。

索赔的“粒度”是那些“它取决于”主题之一。一般来说，建议是保持“粗糙”的声明（例如组，角色，组织等），然后将这些声明关联到应用程序中的细粒度权限（仍可以声明方式执行）。

此外，我建议你问一个问题：“谁是权威人士将在信息中传达的信息？”如果“用户x有权读取记录23455和2456”的知识是特定于应用程序的，那么它属于应用程序，而不是STS。