IdentityServer流程图与相关术语

概念图

 

apparch

最常见的交互是:
浏览器与web应用程序通信
web应用程序与web APIs进行通信
基于浏览器的应用程序与web APIs通信
原生应用与web APIs通信
基于服务的应用程序与web APIs通信
web APIs与web APIs进行通信

通常，每个层(前端、中间层和后端)都必须保护资源，并实现身份认证和授权.所以它们通常是针对同一个用户进行存储.
将这些基本安全功能外包给安全令牌服务,可以防止在这些应用程序和端点之间复制该功能.
对应用程序进行重构以支持安全令牌服务,这将形成以下体系结构和协议:

 

protocols

这样的设计将安全问题分为两部分:

认证

当应用程序需要知道当前用户的身份时，需要进行身份验证。 通常，这些应用程序代表该用户管理数据，并且需要确保该用户只能访问他被允许的数据。 最常见的例子是（经典）Web应用程序 - 但是基于原生和基于JS的应用程序也需要进行身份验证。
最常见的身份验证协议是SAML2p，WS-Federation和OpenID Connect - SAML2p是最流行和最广泛部署的。
OpenID Connect是三款中最新的，但被认为是未来的趋势，因为它具有现代应用的最大潜力。 它是从一开始就构建用于移动应用场景的，并且被设计为API友好。

API 访问

应用程序有两种基本的方式与API通信:使用应用程序标识或委派用户的身份。 有时候两种方法需要组合使用。
OAuth2是允许应用程序从安全令牌服务请求访问令牌,并使用它们与API进行通信的协议。这种方式减少了客户端应用程序和API的复杂性，因为认证和授权可以集中在了一起。

OpenID Connect和OAuth 2.0:一起食用更佳

OpenID Connect和OAuth 2.0非常相似,实际上OpenID Connect是在OAuth 2.0之上的扩展。两个基本的安全考虑，身份验证和API访问，被组合成了一个单一的协议,通常与安全令牌服务一起单一往返。
我们认为OpenID Connect和OAuth 2.0的组合是在可预见的未来保护现代应用程序的最佳方法。IdentityServer4是这两个协议的实现，并且经过高度优化，可以解决当今移动,原生和Web应用程序的典型安全问题。

术语

 

terminology

IdentityServer

IdentityServer是一个OpenID Connect提供程序，它实现了OpenID Connect和OAuth 2.0协议。
不同的文献对于相同的角色使用不同的术语 - 您可能还会发现安全令牌服务，身份提供者，授权服务器，IP-STS等。
但简而言之，它们都是一样的：一种向客户端发出安全令牌的软件。

IdentityServer有许多工作和功能 - 包括：
1.保护您的资源
2.使用本地帐户商店或通过外部身份提供商对用户进行身份验证
3.提供会话管理和单点登录
4.管理和验证客户端
5.提供身份和访问令牌给客户
6.验证令牌

用户(User)

用户是使用注册的客户端访问资源的人。

客户端(Client)

客户端是从IdentityServer请求令牌的软件，用于验证用户（请求身份令牌）或访问资源（请求访问令牌）。 必须首先向IdentityServer注册客户端才能请求令牌。
客户端的示例是Web应用程序，移动或桌面应用程序，SPA，服务器进程等。

资源(Resources)

资源是要用IdentityServer保护的资源,包括用户的身份信息或API。
每个资源都有一个唯一的名称,客户端使用这个名称来指定他们想要访问的资源。
用户的身份信息,包括名称或电子邮件等。
API资源则是客户端想要调用的功能,它们通常是Web API，但不一定。

身份令牌(Identity Token)

身份令牌表示身份验证过程的结果。它至少包含1.用户的标识，2.用户如何以及何时进行身份验证的信息。它也可以包含其他身份信息。

访问令牌(Access Token)

访问令牌允许用户访问API资源,客户端请求访问令牌并将其转发到API。访问令牌包含有关客户端和用户的信息,API使用该信息来授权用户访问它的数据。
翻译自:https://identityserver4.readthedocs.io/en/release/intro/terminology.html