协议与标准

术语全称说明
OAuth 2.0OAuth 2.0 Authorization Framework授权框架(RFC 6749),不是认证协议;OAuth 并非 “Open Authorization” 的缩写,名称即 OAuth
OIDCOpenID Connect基于 OAuth 2.0 的身份认证协议
SAML 2.0Security Assertion Markup Language 2.0基于 XML 的身份联邦协议(OASIS 标准,2005)
SCIMSystem for Cross-domain Identity Management跨域身份管理协议(RFC 7642 概念 / 7643 Schema / 7644 Protocol)
JWTJSON Web TokenJSON 格式的安全令牌(RFC 7519)
JWSJSON Web SignatureJSON 签名通用规范(RFC 7515),JWT 常用其作签名
JWEJSON Web EncryptionJSON 加密通用规范(RFC 7516)
JWKJSON Web KeyJSON 密钥表示(RFC 7517)
JWAJSON Web AlgorithmsJSON 签名/加密算法(RFC 7518)
LDAPLightweight Directory Access Protocol轻量级目录访问协议
TLSTransport Layer Security传输层安全协议
mTLSMutual TLS双向 TLS 认证
PKCEProof Key for Code ExchangeOAuth 2.0 授权码增强(RFC 7636)
DPoPDemonstrating Proof of PossessionToken 持有证明(RFC 9449)
SLOSingle Logout单点登出
FIDO2Fast IDentity Online 2无密码认证标准,= WebAuthn(W3C)+ CTAP2(FIDO Alliance)
WebAuthnWeb AuthenticationW3C 的 Web 认证 API(Recommendation)
DIDDecentralized Identifier去中心化标识符(W3C Recommendation,2021)
VCVerifiable Credential可验证凭证(W3C Recommendation;1.1: 2022,2.0: 2024)
Device FlowOAuth 2.0 Device Authorization Grant设备授权流(RFC 8628),适用于无浏览器或输入受限的设备
OpenID4VCIOpenID for Verifiable Credential Issuance基于 OAuth 2.0 的可验证凭证签发协议
OpenID4VPOpenID for Verifiable Presentations基于 OAuth 2.0 的可验证凭证出示协议,EUDI 钱包核心协议之一
mDLmobile Driver’s License移动驾照(ISO 18013-5),可验证凭证在物理身份上的现实落地

认证与授权

术语全称说明
AuthNAuthentication认证——“你是谁?”
AuthZAuthorization授权——“你能做什么?”
SSOSingle Sign-On单点登录
MFAMulti-Factor Authentication多因素认证
2FATwo-Factor Authentication双因素认证
TOTPTime-based One-Time Password基于时间的一次性密码
HOTPHMAC-based One-Time Password基于计数的一次性密码
OTPOne-Time Password一次性密码
Passkey通行密钥,FIDO2/WebAuthn 的消费者友好名称,私钥可在用户设备间端到端加密同步(iCloud Keychain / Google Password Manager 等)
AMRAuthentication Methods Reference认证方法引用(OIDC Claim)
ACRAuthentication Context Class Reference认证强度级别引用(OIDC Claim)
RBACRole-Based Access Control基于角色的访问控制
ABACAttribute-Based Access Control基于属性的访问控制
PBACPolicy-Based Access Control基于策略的访问控制
ReBACRelationship-Based Access Control基于关系的访问控制
DACDiscretionary Access Control自主访问控制
MACMandatory Access Control强制访问控制
SoDSeparation of Duties职责分离
PoLPPrinciple of Least Privilege最小权限原则
JITJust-In-Time Access即时访问(临时提权)

身份架构

术语全称说明
IAMIdentity and Access Management身份与访问管理
IDaaSIdentity as a Service身份即服务
IdPIdentity Provider身份提供方
SPService Provider服务提供方(依赖 IdP 的应用)
RPRelying PartyOIDC 中的依赖方(同 SP)
OPOpenID ProviderOIDC 的身份提供方
CIAMCustomer Identity and Access Management客户身份管理
IGAIdentity Governance and Administration身份治理与管理
PAMPrivileged Access Management特权访问管理
AMAccess Management访问管理
DAGDirected Acyclic Graph有向无环图(认证流结构)

令牌与会话

术语全称说明
Access Token访问令牌,用于访问受保护资源
Refresh Token刷新令牌,用于获取新的 Access Token
ID TokenOIDC 身份令牌(JWT 格式)
TGTTicket Granting TicketCAS/Kerberos 的票据授予票据
STService TicketCAS 的服务票据
Session会话,服务器端维护的用户登录状态

软件与产品

术语说明
KeycloakRed Hat 主导开源的 IAM/IDaaS 平台,企业自建身份中台的事实标准之一
CASApereo CAS,教育领域广泛使用的 SSO 服务器
Dex最初由 CoreOS 开发、现由 dexidp 社区维护的轻量级 OIDC 身份代理
OpenLDAP开源 LDAP 实现
ADActive Directory,微软目录服务
AD FSActive Directory Federation Services
Okta商业 IDaaS 领导者
Auth0面向开发者的 IDaaS(已被 Okta 收购)
Azure AD微软的云身份服务,2023 年起更名为 Microsoft Entra ID
OPAOpen Policy Agent,CNCF 毕业项目,通用策略引擎
OpenFGA开源 ReBAC 实现,CNCF Sandbox(截至本稿)
ZitadelGo 语言事件驱动开源 IAM(AGPL-3.0),事件溯源 + CQRS 架构,原生多租户,支持 OIDC/OAuth2/SAML/Passkeys。详见 Zitadel 深度解读
LogtoTypeScript 编写的现代开源 CIAM(MPL-2.0),面向 SaaS 和 AI 应用,原生多租户 Organization,支持 OIDC/OAuth 2.1/SAML,30+ SDK,MCP AI Agent 集成。详见 Logto 深度介绍
SuperTokensJava 开源用户认证方案,15k+ star,定位 Auth0/Firebase Auth/AWS Cognito 替代品。三层架构(Frontend SDK + Backend SDK + Core),内置会话管理与自动 Token 刷新。详见 SuperTokens 深度解读

安全概念

术语说明
零信任“永远不信任,始终验证"的安全架构
纵深防御多层安全防御策略
威胁建模系统性地识别和评估安全威胁
CSRFCross-Site Request Forgery,跨站请求伪造
XSSCross-Site Scripting,跨站脚本攻击
OWASPOpen Web Application Security Project
ZKPZero-Knowledge Proof,零知识证明:不泄露信息本身即可证明某事实的密码学方法
GDPR欧盟通用数据保护条例
等保 2.0中国网络安全等级保护 2.0
SOC 2服务组织控制 2 报告(安全审计标准)
ISO 27001信息安全管理体系国际标准