联合身份

**联合身份**系统是指一个身份提供者 (IdP)充当用户和依赖方之间的中介,使用户能够使用一组凭据来验证多个不同依赖方的身份。

传统上,在Web上,用户将使用用户名和密码登录网站,并且网站会根据存储在网站后端(已正确散列加盐)的副本验证密码。

在这种模型中,如果用户在不同的网站拥有多个帐户,则他们必须记住许多密码,这会导致不良的密码实践,例如对多个帐户使用相同的密码。

在联合身份系统中,身份提供者

  • 管理用户的凭据并可以验证用户身份
  • 被多个网站信任,可以对用户的身份进行断言。

然后,用户可以向身份提供者进行身份验证,如果身份验证成功,身份提供者将向用户的浏览器返回一个令牌。用户的浏览器会将令牌发送到网站,网站可以验证该令牌是否由IdP发出。如果验证成功,网站可以登录用户。

联合身份通常由企业作为一项服务提供:例如,拥有Google、Microsoft或Facebook帐户的用户可以使用这些帐户登录许多网站。网站通常必须实现一个特定于身份提供者的令牌验证流程。但是,OpenIDOAuthSAML等开放标准被广泛用于联合身份系统的实现中。

尽管联合身份使用户登录多个不同帐户变得更加容易,并且可以大大提高安全性,但它可能会对用户的隐私产生严重影响。如果设计不当,联合身份系统可以允许身份提供者在用户登录多个不同站点时跟踪他们在网络上的活动。Web上早期的联合身份系统构建于第三方Cookie等技术之上,这些技术本质上是侵犯隐私的。随着浏览器逐渐弃用这些技术,需要新的方法。 联合凭据管理 (FedCM) API 为Web上的联合身份提供了一种标准化的隐私保护机制。

另请参阅