联邦身份

联合身份系统是一种这样的系统：身份提供商 (IdP) 在用户和依赖方之间充当中间人，使用户能够使用一组凭据来通过多个不同的依赖方进行身份验证。

传统上，在网络上，用户使用用户名和密码登录网站，网站根据存储在其后端（经过适当哈希和加盐处理）的密码副本验证密码。

在这种模式下，如果用户在不同网站有多个账户，他们必须记住许多密码，这助长了不良的密码习惯，例如为多个账户使用相同的密码。

在联合身份系统中，身份提供商

• 管理用户的凭据并可以验证用户
• 被多个网站信任，以就用户的身份做出断言。

然后用户可以通过身份提供商进行身份验证，如果身份验证成功，身份提供商将向用户的浏览器返回一个令牌。用户的浏览器将把令牌发送给网站，网站可以验证该令牌是否由身份提供商颁发。如果验证成功，网站就可以让用户登录。

联合身份通常由公司作为服务提供：例如，拥有 Google、Microsoft 或 Facebook 账户的用户可以使用它们登录许多网站。网站通常必须实现一个特定于身份提供商的令牌验证过程。然而，诸如 OpenID、OAuth 和 SAML 等开放标准在联合身份系统的实现中被广泛使用。

尽管联合身份使用户登录多个不同账户变得更加容易，并且可以大大提高安全性，但它可能会对用户的隐私产生严重影响。如果设计不当，联合身份系统可能允许身份提供商在用户登录多个不同网站时在网络上跟踪用户。早期网络上的联合身份系统是基于第三方 Cookie 等技术构建的，这些技术本质上是侵犯隐私的。随着这些技术被浏览器弃用，需要新的方法。联合凭据管理 (FedCM) API 为网络上的联合身份提供了一种标准化的隐私保护机制。