Auth0概要

    Auth0提供了验证和授权的服务。

    Auth0提供给了程序员和公司构建模块，使得保护应用程序变成一件简单的事，开发者不需要成为安全领域的专家，即可以轻松构建安全的应用。

    你可以将任何应用（基于任何栈的任一种语言）连接到Auth0，也可以定义你想要使用的身份提供者（你想怎样让用户登录）。

    你可以基于应用程序所使用的技术来选择相应的SDK（或者调用我们的API）来连接你的应用。每次用户试图登录，Auth0都会验证他们的身份并传回一些应用程序所需要的信息。

使用Auth0能做什么？

    让我们一起来看看Auth0的一些使用场景。

• 假设你创建了一个很棒的应用并且想增加用户验证和授权，用户应该可以以用户名／密码的方式登录或者是使用社交账号登录（比如脸书、推特等等），而且登录成功后你想获取用户的基本资料来自定义UI界面和运用授权政策。
• 新建了一个API并想通过OAuth 2.0保护这个API。
• 有多个应用程序并且想通过单点登录来实现。
• 写了一个JavaScript前端应用和一个手机应用并想让它们都能安全地访问你的API。
• 创建了一个网页应用，需要用SAML来验证用户。
• 应用的密码登录功能失效后希望用户能通过邮件或者短信发送的一次性的口令来登录。
• 如果你的应用程序的一个用户账号在其他的站点被盗用，你希望能被通知，而且通知用户或者在用户重设密码前阻止用户登录你的应用。
• 为了防止DDoS攻击，对于连续不断的登录失败，你希望能主动出击并阻止一些可疑的IP地址登录你的应用。
• 假如你在一家大公司工作，并想要联合现存的企业网络目录服务来允许员工用现有的企业员工认证登录内网和第三方应用。
• 你只想专注于你的应用程序，不想（或不知道怎样）实现应用的用户管理：密码重设、新建用户、动态用户管理、阻止用户、删除用户和UI定制。
• 当用户试图获取应用的一些敏感信息时希望能强制多重身份验证。
• 你在寻求用户身份解决方案来帮助你掌握一直持续发展的如SOC2、GDPR、OpenID Connect等的合规要求。
• 数据挖掘应用的用户行为并打算将通过数据分析提高用户粘性、增加新用户。
• ......

Auth0所用的身份业界标准是什么？

    在单机系统时代，所有的用户数据和验证都存在一台机器上。那个时代已经一去不复返，现在你可以在多个应用和网站间使用同样的登录信息，而这是通过普遍流行的身份行业标准来实现的。

    现今有许多开源的规则和协议来设计自己的验证和授权系统。这些规则和协议告诉你如何管理身份、以安全的方式迁移用户数据，以及决定谁可以获取应用和数据。

    Auth0所用的身份行业标准有：

• Auth 1：用户访问授权的原始标准，被用于用户授权一个网站获取其他网站或应用的用户信息而不需要提供给网站凭证。
• Auth 2：一个用户访问授权的标准，被用于用户授权一个网站有限的权限来获取其他网站上的该用户信息而不需要暴露用户的凭证。每一次你用个人Google账号登录一些网站时，都会使用到这个标准来询问你是否同意分享邮箱地址和联系人列表信息。
• Open ID Connect：一个基于Auth 2的身份层来简单化用户身份验证及获取用户个人信息。
• JSON Web Tokens：一个开源的标准，用来定义一种以JSON对象紧凑、自包含的方式在不同的平台安全地传输信息。
• 安全断言标记语言（SAML）：一种开源标准，基于XML数据格式，使得商业合作公司、内部员工使用的企业应用程序与用户验证和授权之间的沟通成为可能。
• WS-Federation：一个由微软研发并广泛应用于微软应用的标准。它定义了保密令牌在不同的实体间传递来交换身份和授权信息的方式。

下一篇： Auth0基础