術語
整個IdentityServer3的說明文檔使用了一些特定術語:
OpenID Connect 提供者 (OP)
IdentityServer是OPenID Connect身份提供者--實現(xiàn)了OpenID Connect協(xié)議(OAuth2同樣實現(xiàn)了)
不同的文章使用略微不同的術語 - 你或許能看到 安全令牌服務,身份提供者涛癌,授權服務器立倍,IP-STS和更多。
但他們實際上是一個意思: 一個能發(fā)放安全令牌給客戶端的軟件响驴。
IdentityServer 有一系列的任務和特性--包括:
用本地賬號存儲或者第三方身份驗證服務認證一個用戶
提供會話管理和單點登錄
管理和驗證客戶端
發(fā)放身份和訪問令牌給客戶端
*驗證令牌
客戶端
客戶端向IdentityServer請求令牌---要求認證一個用戶 或者 請求訪問資源(又叫依賴方或者RP)。客戶端必須在OP中注冊。
web應用程序苔悦,原始移動Apps,桌面程序椎咧,單頁應用玖详,服務進程等都是客戶端。
譯者注:客戶容易和用戶混淆勤讽,所以在這個教程中蟋座,我把client翻譯成客戶端。
用戶
用戶是具體的人脚牍,他用注冊的客戶端訪問他/她的數(shù)據(jù)向臀。
作用域(Scope)
作用域是客戶端想訪問的資源的標識符,當客戶端發(fā)送認證或者令牌請求到OP的時候莫矗,會指明作用域飒硅。默認情況下,客戶端可以為任何作用域請求令牌作谚,但是可以限制它三娩。
作用域有兩種情況
身份作用域
這是指用戶本身信息(又叫聲明),比如妹懒,用戶名雀监,郵件地址等,在OpenID Connect中作為一個作用域眨唬。
比如:有一個叫Profile的作用域会前,包括姓,名匾竿,首選用戶名瓦宜,性別,照片等岭妖。你可以在這里了解標準作用域临庇,也可以在IdentityServer按照自己的需求定義作用域。
資源作用域
資源作用域標識WebAPI(也叫資源服務器)--比如你可以定義一個日歷`作用域來代表所有日歷`API.
認證/令牌請求
Clients request tokens from the OP. Depending on the scopes requested, the OP will return an identity token, an access token, or both.
客戶端從OP請求令牌昵慌,根據(jù)請求的作用域假夺,OP返回身份令牌或者訪問令牌或者同時返回身份和訪問令牌。
身份令牌
身份令牌是認證的結果斋攀,它包括一個代表用戶的最小標識(叫sub已卷,也就是主體聲明)。它也可以包括用戶的一些附加信息淳蔼,以及OP怎樣認證這個用戶的侧蘸。
訪問令牌
如名所示,訪問令牌就是用來訪問資源的肖方」胛海客戶端請求訪問令牌,并使用訪問令牌調(diào)用API俯画。一個訪問令牌包括客戶端及用戶(如果有),API使用這些信息授權訪問對應的數(shù)據(jù)析桥。
