身份驗證和令牌引導程式
驗證和令牌引導功能定義收件匣管理員如何接受來自 auth.inbox-manager.com 的信任並將其套用至每個 API 請求。
它為您提供基於帳戶的授權,因此每次呼叫都會針對正確的帳戶和角色運行。
為什麼這很重要
此功能在業務處理程序運行之前驗證令牌身分和範圍,從而保持授權嚴格且可預測。它還保留了身份驗證網域令牌頒發和收件匣管理器端點之間的清晰邊界,同時保持帳戶和角色檢查在受保護的路由之間保持一致。
核心流程
客戶端登入auth.inbox-manager.com,取得token,並在需要時派生帳戶token。 Inbox Manager 驗證發行者、受眾、簽名和所需聲明,然後執行對令牌帳戶和角色的請求;在功能邏輯運作之前,無效或不完整的令牌將被拒絕。
操作
| 運作 | 端點 | 目的 |
|---|---|---|
| 登入(外部) | POST https://auth.inbox-manager.com/auth/sign-in | 驗證使用者身分並啟動令牌生命週期 |
| OAuth 令牌問題(外部) | POST https://auth.inbox-manager.com/oauth2/token | 為公共或後端客戶端發行代幣 |
| 帳號代幣衍生(外部) | POST https://auth.inbox-manager.com/api/accounts/:account_id/token | 為 API 呼叫建立帳戶範圍的令牌 |
| JWKS 發現(外部) | GET https://auth.inbox-manager.com/.well-known/jwks.json | 取得 JWT 驗證的簽章金鑰 |
| OIDC 發現(外部) | GET https://auth.inbox-manager.com/.well-known/openid-configuration | 為客戶端取得 OAuth/OIDC 元資料 |
| 訂閱擁有者傳遞 | GET /api/subscriptions 和相關/api/subscriptions* | 透過授權代理路由運行所有者訂閱和計畫操作 |
關鍵數據和狀態
| 索賠 | 收件匣管理員中的角色 |
|---|---|
uid | 識別代理用戶 |
app | 標識令牌中的應用程式 ID |
acc | 選擇帳戶進行授權操作 |
role | 限制帳戶等級的能力 |
aud | 必須符合預期的 Inbox Manager 受眾 |
iss | 必須與配置的令牌頒發者相符 |
故障模式與控制無效簽名、發行者/受眾不匹配以及缺少所需聲明會導致立即拒絕,而不是隱式回退行為。帳戶範圍路由上的令牌/帳戶不符會被阻止,以防止跨帳戶訪問,並且身份驗證網域依賴項失敗不會繞過驗證要求。
相關
帳號、會員資格、01-auth-and-token-bootstrap、10-auth-backend-admin-flow。