1.2. 术语

根据 OAuth2 术语，资源服务器是托管受保护的资源的服务器，能够接受和响应受保护的资源请求。

资源服务器通常依赖于某种信息来确定是否应被授予对受保护资源的访问权限。对于基于 RESTful 的资源服务器，该信息通常采用安全令牌，通常作为 bearer 令牌与服务器的每个请求一起发送。依赖于会话对用户进行身份验证的 Web 应用通常会将该信息存储在用户的会话中，并从那里为每个请求检索信息。

在红帽单点登录中，任何 机密 客户端应用程序都可以充当资源服务器。此客户端的资源及其对应的范围受到一组授权策略的影响。

资源是应用程序和组织的资产的一部分。它可以是一个或多个端点、一个典型的 Web 资源，如 HTML 页面等。在授权策略术语中，资源是受保护的 对象。

每一资源具有可表示单个资源或一组资源的唯一标识符。例如，您可以管理一个 代表所有银行帐户的银行客户资源 并定义一组授权策略。但是，您也可以拥有另外一个名为 Alice 的银行帐户 资源，它代表了单个客户拥有的单一资源，这些资源可以拥有自己的授权策略。

资源的范围是可以在资源上执行的限额访问范围。在授权策略术语中，范围是可能的很多 动词，可逻辑上应用到资源。

它通常表示可通过给定资源执行哪些操作。范围示例为 view、edit、delete 等。但是，范围也可以与资源提供的特定信息相关。在这种情况下，您可以具有项目资源和成本范围，其中成本范围用于定义用户访问项目成本的具体策略和权限。

请考虑简单和非常常见的权限：

权限将对象与必须评估的策略关联，以确定是否授予访问权限。

Red Hat Single Sign-On 提供丰富的平台，用于构建一系列权限策略，范围从简单到非常复杂的、基于规则的动态权限。它提供了灵活性并帮助：

策略定义了必须满足以授予对象访问权限的条件。与权限不同，您不指定对象受到保护，而是对给定对象（如资源、范围或两者）满足的条件。策略强烈与可用于保护资源的不同访问控制机制(ACM)相关。通过策略，您可以实施基于属性的访问控制(ABAC)、基于角色的访问控制(RBAC)、基于上下文访问控制或这些组合的任意组合。

Red Hat Single Sign-On 利用策略的概念，以及如何提供聚合策略的概念来定义它们，您可以在其中构建"策略策略"并仍控制评估行为。在 Red Hat Single Sign-On Authorization Services 中，在 Red Hat Single Sign-On Authorization Services 中实施策略，而不是在所有必须满足给定资源的条件下编写大型策略。也就是说，您可以创建单独的策略，然后使用不同的权限重新利用它们，并通过组合单个策略来构建更复杂的策略。

策略提供程序是特定策略类型的实现。Red Hat Single Sign-On 提供内置策略，由相应的策略供应商支持，您可以创建自己的策略类型来支持您的特定要求。

Red Hat Single Sign-On 提供了一个 SPI （服务提供商接口），您可以使用它来插入您自己的策略供应商实施。

权限 ticket 是由 User-Managed Access (UMA)规范定义的特殊令牌类型，它提供由授权服务器决定的不透明结构。这个结构代表了客户端所请求的资源和/或范围、访问上下文以及必须应用到授权数据请求的策略（请求方令牌 [RPT]）。

在 UMA 中，权限票据对于支持个人共享以及个人组织共享至关重要。使用授权工作流的权限问题单可让一系列从简单到复杂情况，而资源所有者和资源服务器可根据管理这些资源访问的精细策略完全控制其资源。

在 UMA 工作流中，授权服务器向资源服务器发布权限票据，它会将权限票据返回到尝试访问受保护的资源的客户端。客户端收到票据后，它可以通过向授权服务器发送 ticket 来为 RPT （一个最终令牌保留授权数据）发出请求。

有关权限票据的更多信息，请参阅 用户管理的访问 和 UMA 规格。