身份与访问
身份认证
别称: AuthN, 身份验证
定义
在授予访问权限前,验证某个实体(用户、设备或服务)确实是其所声称身份的过程。
身份认证通过验证一个或多个要素来确认主体的身份:你所知道的(密码、PIN)、你所拥有的(安全密钥、智能手机)或你所具备的(生物特征)。现代系统通常组合多个要素 (MFA),结合设备状态信号,并通过 SAML、OAuth 2.0、OpenID Connect 等标准将验证委托给可信的身份提供方。强认证是任何有效授权决策的前提,也是阻止钓鱼、撞库和账户接管的关键。弱密码或重复使用且缺乏抗钓鱼因子的凭证,仍是数据泄露中初始入侵的主要原因。
示例
- 使用密码加 FIDO2 安全密钥登录企业 VPN。
- API 网关验证由身份提供方签发的 JWT 令牌。
相关术语
授权
在身份认证完成后,决定该身份对哪些资源、可以执行哪些操作以及在何种条件下被允许的过程。
多因素认证 (MFA)
在授予访问权限前,要求提供两个或两个以上独立认证因素(通常来自不同类别)的认证方法。
单点登录 (SSO)
一种认证方式,用户在可信的身份提供方完成一次登录后,即可访问多个应用而无需再次输入凭据。
Passkey
Passkey — definition coming soon.
Password
Password — definition coming soon.
AAA 框架
由认证 (Authentication)、授权 (Authorization)、记账 (Accounting) 三个串联功能构成的基础访问控制模型。