概念图
apparch
通常,每个层(前端、中间层和后端)都必须保护资源,并实现身份认证和授权.所以它们通常是针对同一个用户进行存储.
将这些基本安全功能外包给安全令牌服务,可以防止在这些应用程序和端点之间复制该功能.对应用程序进行重构以支持安全令牌服务,这将形成以下体系结构和协议:
protocols
这样的设计将安全问题分为两部分:
认证
当应用程序需要知道当前用户的身份时,需要进行身份验证。 通常,这些应用程序代表该用户管理数据,并且需要确保该用户只能访问他被允许的数据。 最常见的例子是(经典)Web应用程序 - 但是基于原生和基于JS的应用程序也需要进行身份验证。
最常见的身份验证协议是SAML2p,WS-Federation和OpenID Connect - SAML2p是最流行和最广泛部署的。OpenID Connect是三款中最新的,但被认为是未来的趋势,因为它具有现代应用的最大潜力。 它是从一开始就构建用于移动应用场景的,并且被设计为API友好。API 访问
应用程序有两种基本的方式与API通信:使用应用程序标识或委派用户的身份。 有时候两种方法需要组合使用。
OAuth2是允许应用程序从安全令牌服务请求访问令牌,并使用它们与API进行通信的协议。这种方式减少了客户端应用程序和API的复杂性,因为认证和授权可以集中在了一起。OpenID Connect和OAuth 2.0:一起食用更佳
OpenID Connect和OAuth 2.0非常相似,实际上OpenID Connect是在OAuth 2.0之上的扩展。两个基本的安全考虑,身份验证和API访问,被组合成了一个单一的协议,通常与安全令牌服务一起单一往返。
我们认为OpenID Connect和OAuth 2.0的组合是在可预见的未来保护现代应用程序的最佳方法。IdentityServer4是这两个协议的实现,并且经过高度优化,可以解决当今移动,原生和Web应用程序的典型安全问题。术语
terminology
IdentityServer
IdentityServer是一个OpenID Connect提供程序,它实现了OpenID Connect和OAuth 2.0协议。
不同的文献对于相同的角色使用不同的术语 - 您可能还会发现安全令牌服务,身份提供者,授权服务器,IP-STS等。但简而言之,它们都是一样的:一种向客户端发出安全令牌的软件。IdentityServer有许多工作和功能 - 包括:
1.保护您的资源2.使用本地帐户商店或通过外部身份提供商对用户进行身份验证3.提供会话管理和单点登录4.管理和验证客户端5.提供身份和访问令牌给客户6.验证令牌用户(User)
用户是使用注册的客户端访问资源的人。
客户端(Client)
客户端是从IdentityServer请求令牌的软件,用于验证用户(请求身份令牌)或访问资源(请求访问令牌)。 必须首先向IdentityServer注册客户端才能请求令牌。
客户端的示例是Web应用程序,移动或桌面应用程序,SPA,服务器进程等。资源(Resources)
资源是要用IdentityServer保护的资源,包括用户的身份信息或API。
每个资源都有一个唯一的名称,客户端使用这个名称来指定他们想要访问的资源。用户的身份信息,包括名称或电子邮件等。API资源则是客户端想要调用的功能,它们通常是Web API,但不一定。身份令牌(Identity Token)
身份令牌表示身份验证过程的结果。它至少包含1.用户的标识,2.用户如何以及何时进行身份验证的信息。它也可以包含其他身份信息。
访问令牌(Access Token)
访问令牌允许用户访问API资源,客户端请求访问令牌并将其转发到API。访问令牌包含有关客户端和用户的信息,API使用该信息来授权用户访问它的数据。
翻译自: