身份验证和令牌引导程序
身份验证和令牌引导功能定义收件箱管理器如何接受来自 auth.inbox-manager.com 的信任并将其应用于每个 API 请求。
它为您提供基于帐户的授权,因此每次调用都会针对正确的帐户和角色运行。
为什么这很重要
此功能在业务处理程序运行之前验证令牌身份和范围,从而保持授权严格且可预测。它还保留了身份验证域令牌颁发和收件箱管理器端点之间的清晰边界,同时保持帐户和角色检查在受保护的路由之间保持一致。
核心流程
客户端登录auth.inbox-manager.com,获取token,并在需要时派生账户token。 Inbox Manager 验证发行者、受众、签名和所需声明,然后执行对令牌帐户和角色的请求;在功能逻辑运行之前,无效或不完整的令牌将被拒绝。
操作
| 运营 | 端点 | 目的 |
|---|---|---|
| 登录(外部) | POST https://auth.inbox-manager.com/auth/sign-in | 验证用户身份并启动令牌生命周期 |
| OAuth 令牌问题(外部) | POST https://auth.inbox-manager.com/oauth2/token | 为公共或后端客户端发行代币 |
| 账户代币衍生(外部) | POST https://auth.inbox-manager.com/api/accounts/:account_id/token | 为 API 调用创建帐户范围的令牌 |
| JWKS 发现(外部) | GET https://auth.inbox-manager.com/.well-known/jwks.json | 获取 JWT 验证的签名密钥 |
| OIDC 发现(外部) | GET https://auth.inbox-manager.com/.well-known/openid-configuration | 为客户端获取 OAuth/OIDC 元数据 |
| 订阅所有者传递 | GET /api/subscriptions 和相关/api/subscriptions* | 通过授权代理路由运行所有者订阅和计划操作 |
关键数据和状态
| 索赔 | 收件箱管理器中的角色 |
|---|---|
uid | 识别代理用户 |
app | 标识令牌中的应用程序 ID |
acc | 选择帐户进行授权操作 |
role | 限制帐户级别的能力 |
aud | 必须符合预期的 Inbox Manager 受众 |
iss | 必须与配置的令牌颁发者匹配 |
故障模式和控制无效签名、发行者/受众不匹配以及缺少所需声明会导致立即拒绝,而不是隐式回退行为。帐户范围路由上的令牌/帐户不匹配会被阻止,以防止跨帐户访问,并且身份验证域依赖项失败不会绕过验证要求。
相关
帐户、会员资格、01-auth-and-token-bootstrap、10-auth-backend-admin-flow。