Auth Wiki

OpenID Connect
OAuth 2.0
SAML

探索和找到与认证、授权、身份和访问管理（IAM）相关的关键术语的明确定义。使用开放标准，如 OpenID Connect、OAuth 2.0 和 SAML。

A

API 密钥 (API key)

API 密钥是用于在访问 API 时认证和授权客户端的唯一标识符。它作为一个秘密令牌包含在 API 请求中，用于验证客户端的身份并允许访问特定的资源或服务。API 密钥通常用于服务器到服务器的通信或访问公共数据。

Auth (释义)

术语“auth”通常是 authentication 或 authorization 的缩写。这些概念相关但本质不同。

I

ID 令牌 (ID token)

ID 令牌 (ID token) 是一个由授权服务器颁发给客户端应用的 JSON Web 令牌 (JWT)。它包含已认证用户的信息，例如他们的唯一标识符和声明 (claim)。该令牌用于验证用户身份，并允许客户端应用代表用户访问受保护资源。

J

JSON Web Token (JWT)

JSON Web Token (JWT) 是定义在 RFC 7519 中的一个开放标准，可以在两个实体之间进行安全的通信。它体积小、URL 安全且自包含，使其成为在服务之间传递认证 (Authentication) 和授权 (Authorization) 数据的理想选择。

JSON Web 加密 (JSON Web Encryption, JWE)

JSON Web 加密 (JWE) 是一种以 JSON 格式加密和解密数据的标准方式。它通常用于保护传输 JSON Web 令牌 (JWTs) 中的敏感信息。

JSON Web 密钥 (JSON Web Key, JWK)

JSON Web 密钥 (JWK) 是用于表示加密密钥的基于 JSON 的格式。当需要将多个 JWK 组合在一起时，它们会被组织成一个 JSON Web 密钥 Set (JWKS)。

JSON Web 签名 (JSON Web Signatures, JWS)

JSON Web 签名 (JWS) 是一种用于签署和验证 JSON 格式数据的标准方法，通常用于确保 OAuth 2.1 和 OpenID Connect (OIDC) 中 JSON Web Tokens (JWTs) 的完整性和真实性。

O

OAuth 2.0

OAuth 2.0 是一个广泛使用的授权框架，允许应用程序 (client) 代表用户或应用程序自身获得对受保护资源的有限访问权限。

OAuth 2.0 授权 (Grant)

OAuth 2.0 授权 (authorization grant)（有时称为 "OAuth 2.0 grant type" 或 "OAuth 2.0 flow"），是一种客户端用来从授权服务器 (authorization server) 获取访问令牌 (access token) 的方法。它是 OAuth 客户端进行认证 (authentication) 和授权 (authorization) 身份的必不可少的部分。

OAuth 2.1

OAuth 2.1 是对 OAuth 2.0 授权框架的拟议更新，旨在提高安全性和可用性，通过废弃不安全的流程并引入新的最佳实践。

OpenID Connect (OIDC)

OpenID Connect (OIDC) 是一个基于 OAuth 2.0 的身份验证 (Authentication) 层，让客户端能够以标准化的方式验证用户并获取身份信息。

OpenID Connect (OIDC) 发现 (Discovery)

OpenID Connect (OIDC) 发现是一种机制，允许客户端自动发现 OpenID Provider 的端点和配置。

T

Token 请求 (Token request)

Token request 指的是 OAuth 2.0 中用于交换凭据（如：authorization code、refresh token）以获取一组令牌的请求。通常包含以下一项或多项：access token、ID token 或 refresh token。

W

WebAuthn

WebAuthn 是一种用于访问公钥凭证的 API，有助于实现通行密钥 (passkeys)。

Webhook (Webhook)

Webhook（Webhook）是一种允许网络应用程序在实时中相互通信的方法。当特定事件发生时，它们允许一个应用程序向另一个应用程序发送自动化消息或信息。与传统 API 需要一个应用程序轮询另一个应用程序以获取更新不同，webhook 在事件发生时立即将数据推送到接收应用程序。

一

一次性密码 (One-time password, OTP)

一次性密码 (OTP) 是用于单个交易或会话的唯一、临时代码。

不

不透明令牌 (Opaque token)

不透明令牌是一种由发行者决定格式的令牌，通常以字符或数字串的形式出现，需要发行者进行验证，而不是包含直接验证所需的所有信息。

代

代码交换证明密钥 (Proof Key for Code Exchange, PKCE)

代码交换证明密钥 (PKCE) 是 OAuth 2.0 的一项安全扩展，用于保护授权码不被拦截和滥用。它在 OAuth 2.1 中对所有类型的客户端强制实施。

令

令牌内省 (Token introspection)

令牌内省 (Token introspection) 是 OAuth 2.0 的一个扩展，允许客户端查询授权服务器以验证访问令牌并检索其元数据。

企

企业 SSO（Enterprise SSO）

企业 SSO（Enterprise SSO）是一种专为组织内员工设计的 SSO 类型。

作

作用域 (Scope)

作用域 (Scope) 定义了应用程序请求用户访问其受保护资源的权限。它是 OAuth 2.0 和 OIDC 中的一个基本概念，用于控制应用程序可以对用户数据进行的访问级别。

刷

刷新令牌 (Refresh token)

刷新令牌 (Refresh token) 是一种长期有效的凭证，用于在不需要用户重新认证 (Authentication) 的情况下获取新的访问令牌 (Access tokens)。它用于维护用户会话并提供更好的用户体验。

单

单点登录 (Single sign-on, SSO)

单点登录 (Single sign-on, SSO) 是一种认证 (Authentication) 方法，允许用户使用一组凭证访问多个系统。作为身份和访问管理 (IAM) 系统的关键组件，SSO 在现代基于云的应用程序和服务中被广泛利用，简化了用户访问并增强了安全性。

即

即时 (Just-in-time, JIT) 供应 (Provisioning)

即时 (Just-in-time, JIT) 供应是一种身份和访问管理 (IAM) 过程，当用户首次尝试访问系统或应用程序时，用户账户会动态自动创建。这种方法有助于简化入职过程，并确保仅在需要时才创建用户账户，从而减少管理开销，提高安全性。

受

受众 (Audience)

令牌中的受众 (audience) 声明指定了预期接收者，通常是客户端应用程序或 API 资源。它确保令牌仅由正确的服务使用，通过防止未经授权的访问来增强安全性。

可

可扩展访问控制标记语言 (XACML)

可扩展访问控制标记语言 (XACML) 是一种基于 XML 的语言，用于表示访问控制策略。它主要用于实现基于属性的访问控制 (ABAC) 策略。

基

基于属性的访问控制 (Attribute-based access control, ABAC)

基于属性的访问控制 (ABAC) 是一种使用属性（如用户角色、资源属性和环境条件）来做出访问控制决策的访问控制模型。这是管理对受保护资源访问的灵活和动态方式。

基于时间的一次性密码 (Time-based one-time password, TOTP)

基于时间的一次性密码 (TOTP) 是一种通过使用当前时间作为关键因素的算法生成的临时唯一代码。

基于角色的访问控制 (Role-based access control, RBAC)

基于角色的访问控制 (Role-based access control, RBAC) 是一种访问控制模型，它将权限分配给角色而不是直接分配给用户，提供了一种灵活且高效的方式来管理系统中的访问权限。

声

声明 (Claim)

在 JSON Web Token (JWT) 中，声明 (Claim) 是一个传递特定信息的键值对。在更广泛的上下文中，声明可以是表示信息的任何键值对。

多

多因子认证 (Multi-factor authentication, MFA)

多因子认证 (MFA) 是一种安全机制，要求用户提供至少两种形式的身份验证以完成认证过程。它增加了一个额外的安全层，可以显著减少未经授权访问的风险。

多租户 (Multi-tenancy)

多租户 (Multi-tenancy) 是一种软件架构，其中单个应用程序实例为多个客户（租户）提供服务，保持其数据隔离和安全。通过在云计算和 SaaS 中优化资源和简化维护，这是常见的做法。

安

安全断言标记语言 (Security Assertion Markup Language, SAML)

安全断言标记语言 (Security Assertion Markup Language, SAML) 是一种基于 XML 的标准，用于在身份提供者和服务提供者之间交换认证 (authentication) 和授权 (authorization) 数据。

客

客户端 (Client)

在 OAuth 2.0 和 OpenID Connect (OIDC) 中，客户端是代表用户或自身请求认证 (Authentication) 或授权 (Authorization) 的应用程序。客户端可以是公共或机密的（私密），并且它们使用不同的授权类型获取令牌。

客户端凭证流 (Client credentials flow)

客户端凭证流 (Client credentials flow) 是一种 OAuth 2.0 授权 (Grant) 类型，允许机密客户端获取访问令牌 (access tokens) 以访问受保护资源。它适用于机器到机器 (machine-to-machine) 的通信。

密

密钥 (Passkey)

密钥 (Passkey) 是一种防钓鱼且便捷的凭证，可以替代密码用于登录和多因素认证 (MFA)。

授

授权 (Authorization)

授权 (Authorization) 是确定一个身份对资源可以执行哪些操作的过程。它是定义和强制执行访问策略的基本安全机制。

授权服务器 (Authorization server)

授权服务器 (Authorization server) 是 OAuth 2.0 框架的一个组件，在成功认证 (Authentication) 和授权 (Authorization) 后向客户端颁发访问令牌 (Access tokens)。在 OpenID Connect (OIDC) 中，它也是颁发 ID 令牌 (ID tokens) 给客户端的 OpenID 提供者 (OpenID Provider, OP)。

授权码流程 (Authorization code flow)

授权码流程是一个安全的 OAuth 2.0 机制，使应用程序能够代表用户获取访问令牌 (access token)。它涉及用户认证 (Authentication)、授权码生成和令牌交换。

授权请求 (Authorization request)

授权请求 (Authorization request) 是 OAuth 2.0 中用于授权客户端代表用户访问受保护资源的请求。它是 OAuth 2.0 中用户授权流程的第一步。

无

无密码 (Passwordless)

无密码 (Passwordless) 是一种允许用户在无需输入（或记住）密码或其他基于知识的秘密情况下登录计算机系统的认证 (Authentication) 方法。

服

服务提供者 (Service provider, SP)

服务提供者 (Service provider, SP) 是一个依赖于身份提供者 (IdP) 进行认证 (Authentication) 和授权的应用程序或服务。

机

机器对机器 (Machine-to-machine)

机器对机器 (Machine-to-machine, M2M) 通信指的是设备之间无需人为干预的自动化数据交换。在认证 (Authentication) 和授权 (Authorization) 的环境中，M2M 通信通常涉及需要访问资源的客户端应用程序，其中客户端应用程序是机器（服务）或代表用户行事的机器。

混

混合流 (Hybrid flow)

混合流 (Hybrid flow) 是一种 OpenID Connect (OIDC) 流程，它结合了授权码流 (Authorization code flow) 和隐式流 (Implicit flow)。它旨在为认证 (Authentication) 提供安全性与可用性之间的平衡。

用

用户信息端点 (Userinfo endpoint)

用户信息端点 (Userinfo endpoint) 是一个 OpenID Connect (OIDC) 端点，为客户端提供用户信息。它是 ID 令牌 (ID token) 的补充端点，允许客户端检索额外的用户信息。

离

离线访问 (Offline access)

离线访问 (Offline access) 允许客户端在不要求用户重新进行认证 (authenticate) 的情况下获取新的访问令牌 (access token)。对于长时间会话和更好的用户体验，它是非常有用的。

签

签名密钥 (Signing key)

签名密钥是一种加密密钥，用于在 OpenID Connect (OIDC) 中签署和验证 JSON Web Tokens (JWT)。它用于确保 OpenID 提供者发行的令牌的完整性和真实性。

管

管理 API (Management API)

在身份和访问管理 (IAM) 的背景下，管理 API 允许对用户、应用程序、角色和权限等资源进行编程管理。通常是 RESTful，它在 IAM 系统和用户界面之间提供了一个抽象层，支持自动化、集成和自定义功能开发。

角

角色 (Role)

角色是访问控制系统中权限的集合，定义了用户可以执行的操作，为管理和分配用户的访问权限提供了一种高效的方式。

认

认证 (Authentication)

认证 (Authentication) 是验证身份所有权（例如用户或服务）的过程。它是身份和访问管理 (IAM) 系统的基础，对于保护应用程序和服务至关重要。

认证请求 (Authentication request)

认证请求 (Authentication request) 是一个 OpenID Connect (OIDC) 请求，用于验证用户身份。它重用了 OAuth 2.0 授权请求并扩展以支持认证。

设

设备流 (Device flow)

OAuth 2.0 设备授权流程是一种用户友好的登录方法，适用于输入受限设备或无界面应用。通过验证唯一的设备代码，使用户能够通过全界面的辅助设备授权设备。

访

访问令牌 (Access token)

访问令牌 (access token) 是用于代表身份（例如用户或服务）访问受保护资源的凭据。它是一个授予基于令牌范围（权限）访问资源的持有者令牌。

访问控制 (Access control)

访问控制是限制谁可以在系统的某些资源上执行哪些操作。这是一种定义和执行访问策略的基本安全机制。

资

资源所有者 (Resource owner)

资源所有者是一个身份（通常是用户），能够授予对受保护资源的访问权限。在 OAuth 2.0 中，资源所有者可以授权客户端代表他们访问资源服务器中的资源。

资源指示器 (Resource indicator)

OAuth 2.0 中的资源指示器 (Resource indicator) 是 RFC 8707 中定义的一个扩展参数，允许客户端在授权请求 (authorization request) 中指定资源服务器的位置。这提供了一种在单个授权服务器中处理多个资源服务器的可扩展方法。

资源服务器 (Resource server)

资源服务器指的是托管客户端想要访问的受保护资源的服务器。它还负责验证 access token（访问令牌）并向客户端提供受保护的资源。

跨

跨站请求伪造 (Cross-site request forgery, CSRF)

跨站请求伪造 (CSRF) 是一种攻击，欺骗用户在他们已认证 (Authenticated) 的 Web 应用程序上执行不想要的操作。这是一种常见的安全漏洞，可能导致未经授权的操作。

身

身份与访问管理 (Identity and access management, IAM)

身份与访问管理 (IAM) 是一个广泛的概念，涵盖用于管理数字身份和控制资源访问的流程、技术和策略。它是现代应用程序和系统中安全的重要方面。

身份提供者 (Identity provider, IdP)

身份提供者 (IdP) 是一个管理身份的服务。现代身份提供者支持 OpenID Connect (OIDC) 进行认证 (Authentication) 和 OAuth 2.0 进行授权 (Authorization)。

重

重定向 URI (Redirect URI)

重定向 URI 是在授权请求 (authorization request) 后授权服务器 (authorization server) 将用户代理重定向的 URI。在涉及用户交互的 OAuth 2.0 和 OpenID Connect (OIDC) 授权中，它是一个必要的参数。

隐

隐式流程 (Implicit flow)

OIDC 隐式流程 (Implicit flow) 是一种用于 SPA 的认证 (Authentication) 方法，使其能够快速直接从授权服务器 (Authorization server) 接收 token。虽然它通过消除了对后端服务器的需求简化了流程，但由于 token 暴露在 URL 中，因此安全性较低。

魔

魔法链接 (Magic link)

魔法链接 (Magic link) 是一种可用于完成认证 (Authentication) 过程的一次性 URL。