入门教程：.NET开源OpenID Connect 和OAuth解决方案IdentityServer v3 术语（二）

你应该知道的在文档和对象模型中使用一些特定的术语：

OpenID Connect Provider (OP) 授权服务器

Thinktecture IdentityServer v3 是一个.NET 平台上开源的OpenID Connect 提供者 和 OAuth2 验证服务器，OpenID Connect Provider在不同的著作中有不同的说法，你可能发现有的叫安全令牌服务提供商，授权服务器，ip-sts和更多。

简单来说他们的共同点：为客户端提供一块安全令牌的软件。

IdentityServer有许多职责和功能包括：

• 认证用户使用本地帐户存储或通过外部标识提供者

• 提供会话管理和单点登录

• 管理client和client授权

• 为客户端颁发access token　　

• 验证token

客户端

客户端是请求访问IdentityServer或身份令牌的软件。客户端可以是不同类型的应用：桌面或移动的，基于浏览器的或基于服务器的应用。

无论客户端是用于用户认证还是访问资源，客户端都必须在授权服务器中注册。

用户

用户是使用一个注册的客户端访问自己的数据的人。

作用域

作用域是一个客户端要访问的资源标识符。在一个认证过程或者获取Token的时候需要把作用域附加在请求中。

默认情况下，每个客户端可以在任何作用域请求令牌，但是你可以限制。

作用域分为2种：

身份作用域

请求一个用户的身份信息（又叫做claims），他的名字或电子邮件地址被视为一个scope的OpenID connect。例如一个叫“profile”的scope包括名字、姓氏、首选用户名，性别，照片和更多。你点击这里可以阅读有关作用域信息

并且你可以在identityserver模型中按你自己的要求创建自己的范围。

资源作用域

Resource scopes 通常是 Web API的标识符 （也叫做资源服务器）。例如你可以创建一个名为“calendar”的resource scope 用来标识你的calendar API。

认证/令牌请求

客户端请根据作用域从授权服务器请求令牌，授权服务器将返回一个身份令牌（identity token），一个访问令牌（access token），或两者都返回。

身份令牌（identity token）

一个身份令牌代表一个认证过程的结果。它包含在用户的最低标识符（sub claim）。通过授权后它可以包含详细的用户附加信息。

访问令牌（access token）　　

一个访问令牌允许访问一个资源。客户端请求访问令牌转发他们的API。访问令牌包含客户端和用户信息（如果存在的话）。API使用信息授权访问他们的数据。