基础概念

UAAA系统中，具有如下基础概念：

• 安全等级
• 用户
• 凭据
• 应用
• 会话
• 令牌

安全等级

安全等级是对当前和应用程序系统交互的操作者的安全要求的一种量化描述。

在UAAA系统中，安全等级分为以下几个等级：

• HINT：最低的安全等级
  • 会话仍在持续，但需要再次验证才能确保操作者身份。
  • 若操作者具备此等级的令牌，应用系统可以在确保安全的情况下进行一些无危操作，例如：
    • 查看对应用户的可公开信息，以供用户体验的提升；
    • 预热对应用户数据，预留计算资源。
• LOW：低安全等级
  • 操作者通过验证所持凭据进行验证，但无法保证其在场。
  • 若操作者具备此等级的令牌，应用系统允许进行会话内、自限、低风险的操作，例如：
    • 只读的获取用户无危数据；
    • 无危的操作。
• MEDIUM：中等安全等级
  • 操作者近期内通过验证所持普通凭据进行验证以说明其在场。
  • 若操作者具备此等级的令牌，应用系统允许进行会话内、自限、中风险的操作，例如：
    • 有限的修改用户数据；
    • 有限的创建和修改用户名下的资源。
• HIGH：高安全等级
  • 操作者近期内通过验证所持高安全凭证进行验证以说明其在场。
  • 若操作者具备此等级的令牌，应用系统允许进行跨会话、高风险的操作，例如：
    • 进行关键的用户信息修改；
    • 访问用户的敏感数据；
    • 对于管理员账号，允许操作其他用户。
• MAX：最高安全等级
  • 操作者近期通过预授权的高安全凭证。
  • 若操作者具备此等级的令牌，应用系统允许进行用户可能进行的全部操作。

其中，低安全凭据和高安全凭据是由UAAA管理员决定的。一般而言，可以参考下列分类：

低安全凭据：

• 密码
• 邮箱OTP
• 第三方登录

高安全凭据：

• 短信OTP
• 手机令牌/TOTP
• 通行密钥/U2F

用户

用户是指系统中进行身份验证和操作的个人。

凭据

凭据是用户验证身份所需的信息，例如密码、安全邮箱、安全手机、TOTP、通行密钥等。

用户可以绑定多个凭据。

应用

应用是指符合特定功能或需求的软件程序，用户通过它实现特定操作。

在UAAA中，每个应用都可以申请一定的权限，也可以提供一些权限。

用户可以配置某个应用以授予/撤销其权限。所有权限必须在一个会话中发挥作用。

会话

会话是用户与应用之间的交互过程，涉及身份验证及权限验证等。

会话由UAAA的一次登录发起，在用户保持登录UAAA期间授权其他应用访问权限，所有的操作都在同一个会话中进行。

令牌

令牌表示了用户将其一部分权限转交给了某个应用系统。在会话中，用户可以按照已经配置的权限，授予应用会话内的令牌，而这些令牌有效期内，应用程序可以使用它代表用户进行各种被允许的操作。