Logo Logo
GitHub Designed by Logto

A

安全斷言標記語言 (Security Assertion Markup Language, SAML)

安全斷言標記語言 (SAML) 是一種基於 XML 的標準,用於在身份提供者和服務提供者之間交換認證和授權數據。


了解更多

API 金鑰 (API key)

API 金鑰是一種用於在訪問 API 時認證 (Authentication) 和授權 (Authorization)客戶端的唯一標識符。它作為一個秘密令牌包含在 API 請求中,用於驗證客戶端的身份並允許訪問特定資源或服務。API 金鑰通常用於伺服器到伺服器的通信或訪問公共數據。


了解更多

B

不透明令牌 (Opaque token)

不透明令牌是一種由發行者決定其格式的令牌,通常顯示為一串字符或數字,需要由發行者進行驗證,而不是包含所有必要信息以供直接驗證。


了解更多

C

存取控制 (Access control)

存取控制 (Access control) 是限制誰能在系統中的某些資源上執行哪些操作。這是一種定義和執行存取政策的基本安全機制。


了解更多

存取權杖 (Access token)

存取權杖 (Access token) 是用於代表身份(例如用戶或服務)存取受保護資源的憑證。它是一種承載權杖,根據權杖的範圍(許可權)授予資源存取權限。


了解更多

D

單一登入 (Single sign-on, SSO)

單一登入 (Single sign-on, SSO) 是一種認證 (authentication) 方法,允許用戶使用一組憑證訪問多個系統。


了解更多

多因素認證 (Multi-factor authentication, MFA)

多因素認證 (MFA) 是一種安全機制,要求用戶提供至少兩種形式的身份識別來完成認證過程。它增加了一層額外的安全性,可以顯著減少未經授權的訪問風險。


了解更多

多租戶 (Multi-tenancy)

多租戶 (Multi-tenancy) 是一種軟體架構,其中單一應用程式實例為多個客戶(租戶)提供服務,並保持其數據隔離和安全。在雲計算和 SaaS 中很常見,以優化資源並簡化維護。


了解更多

E

Enterprise SSO

Enterprise 單一登入 (Single Sign-On, SSO) 是為企業內部員工設計的特定類型單一登入方式。


了解更多

F

範圍 (Scope)

範圍 (Scope) 定義應用程式向使用者請求訪問其受保護資源的許可權。它是 OAuth 2.0 和 OIDC 中控制應用程式可訪問使用者資料的級別的基本概念。


了解更多

服務提供者 (Service provider, SP)

服務提供者 (Service provider, SP) 是依賴身份提供者 (Identity provider, IdP) 進行認證 (Authentication) 和授權的應用程序或服務。


了解更多

G

更新令牌 (Refresh token)

更新令牌 (Refresh token) 是一種長期有效的憑證,用於獲取新的存取令牌 (access tokens),而無需用戶重新進行身份驗證。它被用來維持用戶會話並提供更好的用戶體驗。


了解更多

管理 API (Management API)

在身份與存取管理 (IAM) 的背景下,管理 API 允許對使用者、應用程式、角色和權限等資源進行程式化管理。通常是 RESTful 的,它在 IAM 系統和使用者介面之間提供了一個抽象層,實現自動化、整合和自訂功能開發。


了解更多

H

混合流程 (Hybrid Flow)

混合流程 (Hybrid Flow) 是一種 OpenID Connect (OIDC) 流程,結合了授权码流程 (Authorization Code Flow) 和隐式流程 (Implicit Flow)。它旨在為认证 (Authentication) 提供安全性和可用性之間的平衡。


了解更多

I

ID token

ID Token 是由授权伺服器(authorization server)向客户端应用程序发布的 JSON Web Token (JWT)。它包含经过身份验证的用户的信息,例如其唯一标识符和声明(claims)。此令牌用于验证用户的身份,并允许客户端应用程序代表用户访问受保护的资源。


了解更多

J

交換驗證碼用的驗證密鑰 (Proof Key for Code Exchange,PKCE)

交換驗證碼用的驗證密鑰 (Proof Key for Code Exchange,PKCE) 是 OAuth 2.0 的一個安全擴展,用於保護授權碼免於被攔截和濫用。它在 OAuth 2.1 中被強制應用於所有類型的客戶端。


了解更多

角色 (Role)

角色 (Role) 是基於角色的存取控制 (RBAC) 系統中的核心概念,代表一組定義用戶可以執行哪些操作的權限,提供了一種有效的方式來管理和分配用戶的存取權限。


了解更多

機器對機器 (Machine-to-machine)

機器對機器 (M2M) 通訊是指設備之間不需人為介入的自動資料交換。在認證 (Authentication) 和授權的情境中,M2M 通訊通常涉及需要訪問資源的客戶端應用程式,其中客戶端應用程式是機器(服務)或代表使用者行動的機器。


了解更多

即時 (JIT) 供應

即時 (JIT) 供應是一種身份和存取管理 (IAM) 過程,當用戶首次登錄時,動態地供應用戶帳戶。


了解更多

基於角色的存取控制 (Role-based access control, RBAC)

基於角色的存取控制 (Role-based access control, RBAC) 是一種存取控制模型,將權限分配給角色而不是直接分配給用戶,提供了一種靈活且高效的方式來管理系統中的存取權限。


了解更多

基於時間的一次性密碼 (Token-based one-time password, TOTP)

基於時間的一次性密碼 (TOTP) 是一個臨時的、唯一的代碼,由使用當前時間作為關鍵因素的算法生成。


了解更多

基於屬性的存取控制 (Attribute-based access control, ABAC)

基於屬性的存取控制 (Attribute-based access control, ABAC) 是一種使用屬性(例如用戶角色、資源屬性和環境條件)來做出存取控制決策的存取控制模型。這是一種靈活且動態的方式來管理對受保護資源的存取。


了解更多

JSON 網路加密 (JSON Web Encryption, JWE)

JSON 網路加密 (JWE) 是一種加密和解密 JSON 格式數據的標準方式。它經常用於保護傳輸中的 JSON 網路令牌 (JWT) 中的敏感信息。


了解更多

JSON Web Key (JWK)

JSON Web Key (JWK) 是用於表示加密密鑰的基於 JSON 的格式。當需要將多個 JWK 組合在一起時,它們會被組織成 JSON Web Key Set (JWKS)。


了解更多

JSON Web Signature (JWS)

JSON Web Signature (JWS) 是一種簽名和驗證 JSON 格式數據的標準方法。它通常用於確保 OpenID Connect (OIDC) 中的 JSON Web Tokens (JWTs) 的完整性和真實性。


了解更多

JSON Web Token (JWT)

JSON Web Token (JWT) 是一種在 RFC 7519 中定義的開放標準,用於實現雙方之間的安全通信。它緊湊、URL 安全且自包含,適合在服務間傳輸認證 (Authentication) 和授權 (Authorization) 數據。


了解更多

K

客戶端 (Client)

在 OAuth 2.0 和 OpenID Connect (OIDC) 中,客戶端是代表使用者或自身請求認證 (Authentication) 或授權的應用程式。客戶端可以是公共或機密的,它們使用不同的授權類型來獲取令牌。


了解更多

可擴展存取控制標記語言 (XACML)

eXtensible Access Control Markup Language (XACML) 是一種基於 XML 的語言,用於表達存取控制政策。它主要用於執行基於屬性的存取控制 (ABAC) 政策。


了解更多

跨站請求偽造 (Cross-site request forgery, CSRF)

跨站請求偽造 (CSRF) 是一種攻擊,會欺騙用戶在他們已經認證的網路應用中執行不想要的操作。這是一種常見的安全漏洞,可能導致未授權的操作。


了解更多

L

令牌請求 (Token request)

令牌請求 (Token request) 指的是 OAuth 2.0 中用於憑證交換(例如,授權碼 (authorization code)、刷新令牌 (refresh token))以獲取一組令牌的請求,通常包括以下一個或多個:訪問令牌 (access token)、ID 令牌 (ID token) 或刷新令牌。


了解更多

離線存取 (Offline access)

離線存取 (Offline access) 允許客戶端在不需要用戶重新認證 (authenticate) 的情況下獲取新的訪問 (access) 令牌,這對於長期會話和更好的用戶體驗非常有用。


了解更多

M

密碼學安全的偽隨機數生成器

密碼學安全的偽隨機數生成器 (CSPRNG) 是一種偽隨機數生成器,能夠生成適合用於密碼學應用的隨機數,這些應用中數據的安全性至關重要。


了解更多

魔法連結 (Magic link)

魔法連結 (Magic link) 是一個可用於完成認證 (Authentication) 過程的一次性 URL。


了解更多

O

OAuth 2.0

OAuth 2.0 是一個廣泛使用的授權框架,允許應用程式 (client) 在用戶或應用程式本身的名義獲得受保護資源的有限訪問。


了解更多

OAuth 2.0 授權 (Grant)

OAuth 2.0 授權 (Grant)(有時被稱為 "OAuth 2.0 grant type" 或 "OAuth 2.0 flow"),是客戶端用來從授權伺服器獲取存取權杖 (access token) 的方法。這是 OAuth 客戶端用來驗證和授權身份的關鍵部分。


了解更多

OAuth 2.1

OAuth 2.1 是對 OAuth 2.0 授權 (authorization) 框架的建議更新,旨在通過棄用不安全的流程並引入新的最佳實踐來提高安全性和可用性。


了解更多

OpenID Connect (OIDC)

OpenID Connect (OIDC) 是一種建立在 OAuth 2.0 之上的認證 (Authentication) 層,允許客戶端以標準化的方式認證用戶並獲取身份資訊。


了解更多

OpenID Connect (OIDC) 發現 (Discovery)

OpenID Connect (OIDC) 發現是一種機制,允許客戶端自動發現 OpenID 提供者的端點和配置。


了解更多

Q

簽名密鑰 (Signing key)

簽名密鑰是一種用於在 OpenID Connect (OIDC) 中簽署和驗證 JSON Web Tokens (JWT) 的加密密鑰。它被用來確保 OpenID 提供者發出的 token 的完整性和真實性。


了解更多

權杖內省 (Token introspection)

權杖內省 (Token introspection) 是 OAuth 2.0 的擴展,允許客戶端 (clients) 查詢授權伺服器 (authorization server) 以驗證訪問權杖 (access tokens) 並獲取其元數據。


了解更多

R

認證 (Auth)(消歧義)

"auth" 這個詞常用作認證 (authentication) 或授權 (authorization) 的縮寫。這些概念相關但本質上不同。


了解更多

認證 (Authentication)

認證 (Authentication) 是驗證身份所有權(例如,用戶或服務)的過程。它是身份和存取管理 (IAM) 系統的基礎,對於安全保護應用程式和服務至關重要。


了解更多

認證請求 (Authentication request)

認證請求 (Authentication request) 是一種用於驗證用戶的 OpenID Connect (OIDC) 請求。它重用了 OAuth 2.0 的授權請求並擴展以支持認證。


了解更多

S

身分提供者 (Identity provider, IdP)

身分提供者 (IdP) 是一個管理身分的服務。現代的身分提供者支持 OpenID Connect (OIDC) 進行 authentication 和 OAuth 2.0 進行 authorization。


了解更多

身分與存取管理 (Identity and access management, IAM)

身分與存取管理 (Identity and access management, IAM) 是一個廣泛的概念,包括用於管理數位身份和控制資源訪問的流程、技術和政策。它是現代應用程式和系統安全的基本方面。


了解更多

聲明 (Claim)

在 JSON Web Token (JWT) 中,聲明 (claim) 是一個名稱值對,用來傳達特定資訊。在更廣泛的上下文中,聲明可以是任何表示資訊的名稱值對。


了解更多

授權 (Authorization)

授權 (Authorization) 是確定一個身份可以在資源上執行哪些操作的過程。這是一種基本的安全機制,用於定義和實施訪問策略。


了解更多

授權伺服器 (Authorization server)

授權伺服器 (Authorization server) 是 OAuth 2.0 框架中的一個組件,負責在成功進行身份驗證 (authentication) 和授權 (authorization) 後向客戶端發放存取權杖 (access tokens)。在 OpenID Connect (OIDC) 中,它也是發布 ID 權杖 (ID tokens) 給客戶端的 OpenID 提供者 (OpenID Provider,OP)。


了解更多

授權碼流程 (Authorization code flow)

授權碼流程 (Authorization code flow) 是一種安全的 OAuth 2.0 機制,可讓應用程式代表用戶獲取存取權杖 (Access Tokens)。它涉及用戶身份驗證 (Authentication)、授權碼生成和權杖交換。


了解更多

授權請求 (Authorization request)

授權請求 (Authorization request) 是一個 OAuth 2.0 請求,用於授權客戶端代表用戶存取受保護的資源。這是 OAuth 2.0 中用戶授權流程的第一步。


了解更多

受眾 (Audience)

包含在 token 中的受眾 (audience) 聲明指定了預期的接收者,通常是客戶端應用程式或 API 資源。這可以確保 token 只由正確的服務使用,從而通過防止未經授權的訪問來增強安全性。


了解更多

T

通行密鑰 (Passkey)

通行密鑰 (Passkey) 是一種防釣魚且方便的憑證,可以取代密碼,用於登入和多因素認證 (MFA)。


了解更多

U

Userinfo 端點 (Userinfo endpoint)

Userinfo 端點 (Userinfo endpoint) 是一個 OpenID Connect (OIDC) 端點,提供使用者資訊給客戶端。它是 ID token 的補充端點,允許客戶端檢索額外的使用者資訊。


了解更多

W

WebAuthn

WebAuthn 是一個用於訪問公鑰憑證的 API,促進了通行密鑰的實現。


了解更多

Webhook

Webhook 是一種讓網路應用程式即時互相溝通的方法。當特定事件發生時,它們允許一個應用程式向另一個應用程式發送自動化的消息或資訊。


了解更多

委託流程 (Client credentials flow)

委託流程 (Client credentials flow) 是一種 OAuth 2.0 grant (授權) 類型,允許保密的 client (用戶端) 獲取 access tokens (訪問令牌) 以訪問受保護的資源。適合 machine-to-machine (機器對機器) (服務器對服務器) 通信。


了解更多

無密碼 (Passwordless)

無密碼 (Passwordless) 是一種身份驗證方法,允許用戶在不輸入(或記住)密碼或任何其他基於知識的秘密的情況下登錄計算機系統。


了解更多

Y

一次性密碼 (One-time password, OTP)

一次性密碼 (OTP) 是一個唯一的、臨時的代碼,用於單次交易或登入會話。


了解更多

隱式流程 (Implicit flow)

OIDC 隱式流程 (Implicit flow) 是一種用於 SPA 的認證 (Authentication) 方法,使其能夠從授權伺服器 (Authorization server) 快速接收 token。儘管省略了後端伺服器簡化了流程,但由於 token 在 URL 中暴露,安全性較低。


了解更多

Z

重定向 URI (Redirect URI)

重定向 URI (Redirect URI) 是在完成授權請求 (authorization request) 後,授權伺服器 (authorization server) 將使用者代理重定向到的位置。它是在涉及使用者互動的 OAuth 2.0 和 OpenID Connect (OIDC) 授權中的關鍵參數。


了解更多

裝置流程 (Device flow)

OAuth 2.0 裝置授權流程是一種對於輸入受限的裝置或無頭應用程式的使用者友好登入方法。透過驗證唯一的裝置代碼,使使用者能夠透過具有完整使用者介面的次要裝置授權裝置。


了解更多

資源伺服器 (Resource server)

資源伺服器 (Resource server) 指的是托管客戶端想要訪問的受保護資源的伺服器。它也有責任驗證訪問令牌 (Access Token) 並向客戶端提供受保護的資源。


了解更多

資源擁有者 (Resource owner)

資源擁有者是有能力授予對受保護資源訪問權的身分(通常是用戶)。在 OAuth 2.0 中,資源擁有者可以授權客戶端代表其訪問資源伺服器上的資源。


了解更多

資源指示器 (Resource indicator)

OAuth 2.0 中的資源指示器 (Resource indicator) 是在 RFC 8707 中定義的一個擴展參數,允許客戶端在授權請求 (authorization request) 中指定資源伺服器的位置。它提供了一種可擴展的方式來在單一授權伺服器中處理多個資源伺服器。


了解更多