6.2　認證中間件的工作模式

6.2.1　直接鑒別模式

直接鑒別模式指的是鑒別服務提供方直接與用戶交互完成身份鑒別。
在直接鑒別模式下，認證中間件中的鑒別服務提供方與鑒別服務適配點不共享同一個用戶上下文，而是分別與用戶建立上下文，鑒別服務提供方和鑒別服務適配點與同一個用戶的會話是異步的。
在用戶鑒別過程中，鑒別服務適配點不直接向鑒別服務提供方發出鑒別請求，而是告知未鑒別的用戶需要進行身份鑒別。用戶通過一定的機制，找到自己的鑒別服務提供方，并與之直接交互完成身份鑒別。之后，用戶攜帶鑒別斷言再次訪問應用系統，鑒別適配點檢驗斷言確實是由認可的鑒別服務提供方發布，即完成用戶身份鑒別過程。該過程中，鑒別斷言中必須加入完整性保護機制，以保證身份鑒別結果不被篡改。

6.2.2　代理鑒別模式

代理鑒別模式指的是鑒別服務提供方不直接與用戶交互完成身份鑒別，而是通過作用于應用系統中的鑒別適配點代理完成交互的通信過程。
在代理鑒別模式下，只有鑒別適配點與用戶交互，建立用戶上下文，鑒別服務提供方和鑒別服務適配點與同一個用戶的會話是同步的。
在用戶鑒別過程中，由鑒別服務適配點直接向鑒別服務提供方發起身份鑒別請求，并轉發用戶與鑒別服務提供方之間的通信交互消息。鑒別過程完成后，鑒別服務提供方直接將鑒別斷言返回給鑒別服務適配點。該過程中，鑒別服務適配點與鑒別服務提供方之間應建立可信信道。