概念图
最常见的交互是:
浏览器与web应用程序通信
web应用程序与web APIs进行通信
基于浏览器的应用程序与web APIs通信
原生应用与web APIs通信
基于服务的应用程序与web APIs通信
web APIs与web APIs进行通信
通常,每个层(前端、中间层和后端)都必须保护资源,并实现身份认证和授权.所以它们通常是针对同一个用户进行存储.
将这些基本安全功能外包给安全令牌服务,可以防止在这些应用程序和端点之间复制该功能.
对应用程序进行重构以支持安全令牌服务,这将形成以下体系结构和协议:
这样的设计将安全问题分为两部分:
认证
当应用程序需要知道当前用户的身份时,需要进行身份验证。 通常,这些应用程序代表该用户管理数据,并且需要确保该用户只能访问他被允许的数据。 最常见的例子是(经典)Web应用程序 - 但是基于原生和基于JS的应用程序也需要进行身份验证。
最常见的身份验证协议是SAML2p,WS-Federation和OpenID Connect - SAML2p是最流行和最广泛部署的。
OpenID Connect是三款中最新的,但被认为是未来的趋势,因为它具有现代应用的最大潜力。 它是从一开始就构建用于移动应用场景的,并且被设计为API友好。
API 访问
应用程序有两种基本的方式与API通信:使用应用程序标识或委派用户的身份。 有时候两种方法需要组合使用。
OAuth2是允许应用程序从安全令牌服务请求访问令牌,并使用它们与API进行通信的协议。这种方式减少了客户端应用程序和API的复杂性,因为认证和授权可以集中在了一起。
OpenID Connect和OAuth 2.0:一起食用更佳
OpenID Connect和OAuth 2.0非常相似,实际上OpenID Connect是在OAuth 2.0之上的扩展。两个基本的安全考虑,身份验证和API访问,被组合成了一个单一的协议,通常与安全令牌服务一起单一往返。
我们认为OpenID Connect和OAuth 2.0的组合是在可预见的未来保护现代应用程序的最佳方法。IdentityServer4是这两个协议的实现,并且经过高度优化,可以解决当今移动,原生和Web应用程序的典型安全问题。
术语
IdentityServer
IdentityServer是一个OpenID Connect提供程序,它实现了OpenID Connect和OAuth 2.0协议。
不同的文献对于相同的角色使用不同的术语 - 您可能还会发现安全令牌服务,身份提供者,授权服务器,IP-STS等。
但简而言之,它们都是一样的:一种向客户端发出安全令牌的软件。
IdentityServer有许多工作和功能 - 包括:
1.保护您的资源
2.使用本地帐户商店或通过外部身份提供商对用户进行身份验证
3.提供会话管理和单点登录
4.管理和验证客户端
5.提供身份和访问令牌给客户
6.验证令牌
用户(User)
用户是使用注册的客户端访问资源的人。
客户端(Client)
客户端是从IdentityServer请求令牌的软件,用于验证用户(请求身份令牌)或访问资源(请求访问令牌)。 必须首先向IdentityServer注册客户端才能请求令牌。
客户端的示例是Web应用程序,移动或桌面应用程序,SPA,服务器进程等。
资源(Resources)
资源是要用IdentityServer保护的资源,包括用户的身份信息或API。
每个资源都有一个唯一的名称,客户端使用这个名称来指定他们想要访问的资源。
用户的身份信息,包括名称或电子邮件等。
API资源则是客户端想要调用的功能,它们通常是Web API,但不一定。
身份令牌(Identity Token)
身份令牌表示身份验证过程的结果。它至少包含1.用户的标识,2.用户如何以及何时进行身份验证的信息。它也可以包含其他身份信息。
访问令牌(Access Token)
访问令牌允许用户访问API资源,客户端请求访问令牌并将其转发到API。访问令牌包含有关客户端和用户的信息,API使用该信息来授权用户访问它的数据。
翻译自:https://identityserver4.readthedocs.io/en/release/intro/terminology.html