Auth Wiki

OpenID Connect
OAuth 2.0
SAML

探索和查找與身份驗證、授權、身份和存取管理（IAM）相關的主要術語的明確定義。使用開放標準，如 OpenID Connect、OAuth 2.0 和 SAML。

A

API 金鑰 (API key)

API 金鑰是一種用於在訪問 API 時認證 (Authentication) 和授權 (Authorization)客戶端的唯一標識符。它作為一個秘密令牌包含在 API 請求中，用於驗證客戶端的身份並允許訪問特定資源或服務。API 金鑰通常用於伺服器到伺服器的通信或訪問公共數據。

E

Enterprise SSO

Enterprise 單一登入 (Single Sign-On, SSO) 是為企業內部員工設計的特定類型單一登入方式。

I

ID token

ID Token 是由授权伺服器（authorization server）向客户端应用程序发布的 JSON Web Token (JWT)。它包含经过身份验证的用户的信息，例如其唯一标识符和声明（claims）。此令牌用于验证用户的身份，并允许客户端应用程序代表用户访问受保护的资源。

J

JSON Web Key (JWK)

JSON Web Key (JWK) 是用於表示加密密鑰的基於 JSON 的格式。當需要將多個 JWK 組合在一起時，它們會被組織成 JSON Web Key Set (JWKS)。

JSON Web Signature (JWS)

JSON Web Signature (JWS) 是一種簽名和驗證 JSON 格式數據的標準方法。它通常用於確保 OpenID Connect (OIDC) 中的 JSON Web Tokens (JWTs) 的完整性和真實性。

JSON Web Token (JWT)

JSON Web Token (JWT) 是一種在 RFC 7519 中定義的開放標準，用於實現雙方之間的安全通信。它緊湊、URL 安全且自包含，適合在服務間傳輸認證 (Authentication) 和授權 (Authorization) 數據。

JSON 網路加密 (JSON Web Encryption, JWE)

JSON 網路加密 (JWE) 是一種加密和解密 JSON 格式數據的標準方式。它經常用於保護傳輸中的 JSON 網路令牌 (JWT) 中的敏感信息。

O

OAuth 2.0

OAuth 2.0 是一個廣泛使用的授權框架，允許應用程式 (client) 在用戶或應用程式本身的名義獲得受保護資源的有限訪問。

OAuth 2.0 授權 (Grant)

OAuth 2.0 授權 (Grant)（有時被稱為 "OAuth 2.0 grant type" 或 "OAuth 2.0 flow"），是客戶端用來從授權伺服器獲取存取權杖 (access token) 的方法。這是 OAuth 客戶端用來驗證和授權身份的關鍵部分。

OAuth 2.1

OAuth 2.1 是對 OAuth 2.0 授權 (authorization) 框架的建議更新，旨在通過棄用不安全的流程並引入新的最佳實踐來提高安全性和可用性。

OpenID Connect (OIDC)

OpenID Connect (OIDC) 是一種建立在 OAuth 2.0 之上的認證 (Authentication) 層，允許客戶端以標準化的方式認證用戶並獲取身份資訊。

OpenID Connect (OIDC) 發現 (Discovery)

OpenID Connect (OIDC) 發現是一種機制，允許客戶端自動發現 OpenID 提供者的端點和配置。

U

Userinfo 端點 (Userinfo endpoint)

Userinfo 端點 (Userinfo endpoint) 是一個 OpenID Connect (OIDC) 端點，提供使用者資訊給客戶端。它是 ID token 的補充端點，允許客戶端檢索額外的使用者資訊。

W

WebAuthn

WebAuthn 是一個用於訪問公鑰憑據的 API，促進了通行密鑰 (passkeys) 的實現。

Webhook

Webhooks 是一種讓網路應用程式即時互相通訊的方法。當特定事件發生時，它們允許一個應用程式自動向另一個應用程式發送消息或信息。與傳統 API 需要一個應用程式定期檢查另一個應用程式的更新相比，webhooks 在事件發生時立即將資料推送給接收的應用程式。

一

一次性密碼 (One-time password, OTP)

一次性密碼 (OTP) 是一個唯一的、臨時的代碼，用於單次交易或登入會話。

不

不透明令牌 (Opaque token)

不透明令牌是一種由發行者 (issuer) 決定其格式的令牌，通常以一串字符或數字的形式出現，需要由發行者進行驗證，而不是直接包含所有必要信息以便直接驗證。

交

交換驗證碼用的驗證密鑰 (Proof Key for Code Exchange，PKCE)

交換驗證碼用的驗證密鑰 (Proof Key for Code Exchange，PKCE) 是 OAuth 2.0 的一個安全擴展，用於保護授權碼免於被攔截和濫用。它在 OAuth 2.1 中被強制應用於所有類型的客戶端。

令

令牌請求 (Token request)

令牌請求 (Token request) 指的是 OAuth 2.0 中用於憑證交換（例如，授權碼 (authorization code)、刷新令牌 (refresh token)）以獲取一組令牌的請求，通常包括以下一個或多個：訪問令牌 (access token)、ID 令牌 (ID token) 或刷新令牌。

及

及時 (Just-in-time, JIT) 供應 (Provisioning)

及時 (Just-in-time, JIT) 供應是一種身份和訪問管理 (IAM) 過程，當用戶首次嘗試訪問系統或應用程式時，自動動態建立用戶帳戶。這種方法有助於簡化入職流程，確保僅在需要時創建用戶帳戶，從而減少管理負擔並提高安全性。

受

受眾 (Audience)

包含在 token 中的受眾 (audience) 聲明指定了預期的接收者，通常是客戶端應用程式或 API 資源。這可以確保 token 只由正確的服務使用，從而通過防止未經授權的訪問來增強安全性。

可

可擴展存取控制標記語言 (XACML)

eXtensible Access Control Markup Language (XACML) 是一種基於 XML 的語言，用於表達存取控制政策。它主要用於執行基於屬性的存取控制 (ABAC) 政策。

單

單一登入 (Single sign-on, SSO)

單一登入 (Single sign-on, SSO) 是一種驗證 (authentication) 方法，允許用戶使用一組憑據訪問多個系統。作為身份和存取管理 (IAM) 系統的關鍵組成部分，SSO 在現代基於雲的應用和服務中被廣泛使用，簡化了用戶訪問並增強了安全性。

基

基於屬性的存取控制 (Attribute-based access control, ABAC)

基於屬性的存取控制 (Attribute-based access control, ABAC) 是一種使用屬性（例如用戶角色、資源屬性和環境條件）來做出存取控制決策的存取控制模型。這是一種靈活且動態的方式來管理對受保護資源的存取。

基於時間的一次性密碼 (Token-based one-time password, TOTP)

基於時間的一次性密碼 (TOTP) 是一個臨時的、唯一的代碼，由使用當前時間作為關鍵因素的算法生成。

基於角色的存取控制 (Role-based access control, RBAC)

基於角色的存取控制 (RBAC) 是一種存取控制模型，它將許可權分配給角色而不是直接分配給用戶，提供了一種靈活且高效的方式來管理系統中的存取權限。

多

多因素認證 (Multi-factor authentication, MFA)

多因素認證 (MFA) 是一種安全機制，要求用戶提供至少兩種形式的身份識別來完成認證過程。它增加了一層額外的安全性，可以顯著減少未經授權的訪問風險。

多租户 (Multi-tenancy)

多租户 (Multi-tenancy) 是一種軟體架構，其中單個應用程式實例為多個客戶（租戶）提供服務，並確保其數據隔離和安全。這在雲計算和 SaaS 中很常見，以優化資源並簡化維護。

委

委託流程 (Client credentials flow)

委託流程 (Client credentials flow) 是一種 OAuth 2.0 grant (授權) 類型，允許保密的 client (用戶端) 獲取 access tokens (訪問令牌) 以訪問受保護的資源。適合 machine-to-machine (機器對機器) (服務器對服務器) 通信。

存

存取控制 (Access control)

存取控制 (Access control) 是限制誰能在系統中的某些資源上執行哪些操作。這是一種定義和執行存取政策的基本安全機制。

存取權杖 (Access token)

存取權杖 (Access token) 是用於代表身份（例如用戶或服務）存取受保護資源的憑證。它是一種承載權杖，根據權杖的範圍（許可權）授予資源存取權限。

安

安全斷言標記語言 (Security Assertion Markup Language, SAML)

安全斷言標記語言 (SAML) 是一種基於 XML 的標準，用於在身份提供者和服務提供者之間交換認證和授權數據。

客

客戶端 (Client)

在 OAuth 2.0 和 OpenID Connect (OIDC) 中，客戶端是代表使用者或自身請求認證 (Authentication) 或授權的應用程式。客戶端可以是公共或機密的，它們使用不同的授權類型來獲取令牌。

授

授權 (Authorization)

授權 (Authorization) 是確定一個身份可以在資源上執行哪些操作的過程。這是一種基本的安全機制，用於定義和實施訪問策略。

授權伺服器 (Authorization server)

授權伺服器 (Authorization server) 是 OAuth 2.0 框架中的一個組件，負責在成功進行身份驗證 (authentication) 和授權 (authorization) 後向客戶端發放存取權杖 (access tokens)。在 OpenID Connect (OIDC) 中，它也是發布 ID 權杖 (ID tokens) 給客戶端的 OpenID 提供者 (OpenID Provider，OP)。

授權碼流程 (Authorization code flow)

授權碼流程 (Authorization code flow) 是一種安全的 OAuth 2.0 機制，可讓應用程式代表用戶獲取存取權杖 (Access Tokens)。它涉及用戶身份驗證 (Authentication)、授權碼生成和權杖交換。

授權請求 (Authorization request)

授權請求 (Authorization request) 是一個 OAuth 2.0 請求，用於授權客戶端代表用戶存取受保護的資源。這是 OAuth 2.0 中用戶授權流程的第一步。

更

更新令牌 (Refresh token)

更新令牌 (Refresh token) 是一種長期有效的憑證，用於獲取新的存取令牌 (access tokens)，而無需用戶重新進行身份驗證。它被用來維持用戶會話並提供更好的用戶體驗。

服

服務提供者 (Service provider, SP)

服務提供者 (Service provider, SP) 是依賴身份提供者 (Identity provider, IdP) 進行認證 (Authentication) 和授權的應用程序或服務。

機

機器對機器 (Machine-to-machine)

機器對機器 (M2M) 通訊是指設備之間不需人為介入的自動資料交換。在認證 (Authentication) 和授權的情境中，M2M 通訊通常涉及需要訪問資源的客戶端應用程式，其中客戶端應用程式是機器（服務）或代表使用者行動的機器。

權

權杖內省 (Token introspection)

權杖內省 (Token introspection) 是 OAuth 2.0 的擴展，允許客戶端 (clients) 查詢授權伺服器 (authorization server) 以驗證訪問權杖 (access tokens) 並獲取其元數據。

混

混合流程 (Hybrid Flow)

混合流程 (Hybrid Flow) 是一種 OpenID Connect (OIDC) 流程，結合了授权码流程 (Authorization Code Flow) 和隐式流程 (Implicit Flow)。它旨在為认证 (Authentication) 提供安全性和可用性之間的平衡。

無

無密碼 (Passwordless)

無密碼 (Passwordless) 是一種驗證方法，允許用戶在不輸入（或記住）密碼或任何其他知識型秘密的情況下登錄計算機系統。

管

管理 API (Management API)

在身份與存取管理 (IAM) 的背景下，管理 API 允許對使用者、應用程式、角色和權限等資源進行程式化管理。通常是 RESTful 的，它在 IAM 系統和使用者介面之間提供了一個抽象層，實現自動化、整合和自訂功能開發。

範

範圍 (Scope)

範圍 (Scope) 定義應用程式向使用者請求訪問其受保護資源的許可權。它是 OAuth 2.0 和 OIDC 中控制應用程式可訪問使用者資料的級別的基本概念。

簽

簽名密鑰 (Signing key)

簽名密鑰是一種用於在 OpenID Connect (OIDC) 中簽署和驗證 JSON Web Tokens (JWT) 的加密密鑰。它被用來確保 OpenID 提供者發出的 token 的完整性和真實性。

聲

聲明 (Claim)

在 JSON Web Token (JWT) 中，聲明 (claim) 是一個名稱值對，用來傳達特定資訊。在更廣泛的上下文中，聲明可以是任何表示資訊的名稱值對。

角

角色 (Role)

角色是訪問控制系統中權限的集合，定義用戶可以執行的操作，提供了一種有效的方法來管理和分配用戶的訪問權限。

設

設備流 (Device flow)

OAuth 2.0 設備授權流是一種用戶友好的登入方法，適用於輸入受限的設備或無頭應用程式。通過驗證獨特的設備代碼，使用戶能夠透過具有完整用戶介面的次要設備來授權該設備。

認

認證 (Auth)（消歧義）

"auth" 這個詞常用作認證 (authentication) 或授權 (authorization) 的縮寫。這些概念相關但本質上不同。

認證 (Authentication)

認證 (Authentication) 是驗證身份所有權（例如，用戶或服務）的過程。它是身份和存取管理 (IAM) 系統的基礎，對於安全保護應用程式和服務至關重要。

認證請求 (Authentication request)

認證請求 (Authentication request) 是一種用於驗證用戶的 OpenID Connect (OIDC) 請求。它重用了 OAuth 2.0 的授權請求並擴展以支持認證。

資

資源伺服器 (Resource server)

資源伺服器 (Resource server) 指的是托管客戶端想要訪問的受保護資源的伺服器。它也有責任驗證訪問令牌 (Access Token) 並向客戶端提供受保護的資源。

資源指示器 (Resource indicator)

OAuth 2.0 中的資源指示器 (Resource indicator) 是在 RFC 8707 中定義的一個擴展參數，允許客戶端在授權請求 (authorization request) 中指定資源伺服器的位置。它提供了一種可擴展的方式來在單一授權伺服器中處理多個資源伺服器。

資源擁有者 (Resource owner)

資源擁有者是有能力授予對受保護資源訪問權的身分（通常是用戶）。在 OAuth 2.0 中，資源擁有者可以授權客戶端代表其訪問資源伺服器上的資源。

跨

跨站請求偽造 (Cross-site request forgery, CSRF)

跨站請求偽造 (CSRF) 是一種攻擊，會欺騙用戶在他們已經認證的網路應用中執行不想要的操作。這是一種常見的安全漏洞，可能導致未授權的操作。

身

身分提供者 (Identity provider, IdP)

身分提供者 (IdP) 是一個管理身分的服務。現代的身分提供者支持 OpenID Connect (OIDC) 進行 authentication 和 OAuth 2.0 進行 authorization。

身分與存取管理 (Identity and access management, IAM)

身分與存取管理 (Identity and access management, IAM) 是一個廣泛的概念，包括用於管理數位身份和控制資源訪問的流程、技術和政策。它是現代應用程式和系統安全的基本方面。

通

通行密鑰 (Passkey)

通行密鑰 (Passkey) 是一種具有釣魚抵抗力且方便的憑證，可取代密碼用於登入和多因素認證 (MFA)。

重

重定向 URI (Redirect URI)

重定向 URI (Redirect URI) 是在完成授權請求 (authorization request) 後，授權伺服器 (authorization server) 將使用者代理重定向到的位置。它是在涉及使用者互動的 OAuth 2.0 和 OpenID Connect (OIDC) 授權中的關鍵參數。

隱

隱式流程 (Implicit flow)

OIDC 隱式流程 (Implicit flow) 是一種用於 SPA 的認證 (Authentication) 方法，使其能夠從授權伺服器 (Authorization server) 快速接收 token。儘管省略了後端伺服器簡化了流程，但由於 token 在 URL 中暴露，安全性較低。

離

離線存取 (Offline access)

離線存取 (Offline access) 允許客戶端在不需要用戶重新認證 (authenticate) 的情況下獲取新的訪問 (access) 令牌，這對於長期會話和更好的用戶體驗非常有用。

魔

魔法連結 (Magic link)

魔法連結 (Magic link) 是可以用來完成认证 (Authentication) 過程的一次性 URL。