API令牌 (Security Token Service, STS)
近年来,随着移动办公的普及化,企业IT系统不仅面临单一的web统一认证,还面临对各种API接口的访问需求。API令牌 STS 允许业务系统使用登录凭证向其换取访问所需要的安全令牌,从而实现接口级别的统一认证。在典型使用场景中,当客户端请求对业务系统的访问时,系统不会直接验证客户端(例如,通过对内部数据库验证客户端的登录凭证),而是将客户端定向到一个能提供STS服务的身份认证服务器,后者对客户端进行身份验证,并授予安全令牌,然后客户端将令牌呈现给业务系统,以获得对系统的资源访问。API令牌STS负责发布、验证、更新和取消的安全令牌,其由一组XML数据记录组成,其中包含关于客户身份和组成员关系的多个要素,以及关于安全令牌的生命周期和发行者信息,通过非对称性加密确保其不可复制性。
九州云腾的API令牌STS是实现“云大物移”统一认证的重要一环,针对大数据平台提供众多服务的应用场景,例如九州云腾为阿里云API网关实现的令牌可以访问云端上百种服务。通过统一账户体系:九州云腾的User
Directory或微软的Active Directory,用户只需认证一次就可以访问多个不同的业务系统,不再需要反复登录。
*云大物移:云计算,大数据,物联网,移动互联网。
产品特点
1. 更统一
一次认证即可换取访问多个业务系统所需要的令牌,避免反复输入登录凭证;
2. 更安全
API令牌STS采用OIDC等非对称密钥协议,替代传统账号密码输入的过程,即使在网络层被截获,也无法实现重放/中间人攻击;
3. 更便捷
开发者无需理解复杂的认证协议和流程,只需要注册成为开发者,按照开发向导提示的步骤执行即可完成部署。