业务系统凭证

1 介绍

业务系统凭证中支持为业务系统配置不同的身份认证方式。
包括：
业务系统密钥 post(Client secret post)：业务系统将其密钥作为表单参数包含在 HTTP 请求体中。
业务系统密钥 basic(Client secret basic)： 业务系统利用 HTTP Basic身份认证方案，密钥以Base64编码方式放置在HTTP头中。
签名的 JWT：业务系统使用自己的业务系统密钥对JWT进行数字签名。
使用业务系统密钥签名的 JWT：业务系统使用自己的业务系统密钥，对JWT进行签名。签名的过程中，除了生成JWT的数字签名外，还会额外生成一个消息认证码（MAC），并将这个MAC嵌入到JWT的签名部分中。
自签名 X509 证书：业务系统使用自签名证书进行身份认证。证书(RSA或EC)的公钥必须以JWKS (JSON Web key Set)格式的值或使用jwks_uri的形式提供给身份认证服务器。
由信任的证书颁发机构签发的 X.509 证书：业务系统使用由受信任的证书颁发机构（CA）颁发的证书进行身份认证。
PKCE：当业务系统选择PKCE时，它首先生成一个随机的密钥（Code Verifier），并将其哈希值（Code Challenge）发送到飞网IAM。用户完成授权后，业务系统将原始的Code Verifier用于交换授权码以获取访问令牌。飞网IAM通过比对Code Verifier和之前存储的Code Challenge来验证请求的合法性，从而确保身份验证的安全性，并有效地防止授权码劫持攻击。

2使用场景

业务系统密钥 post(Client secret post)：
场景： 适用于业务系统需要将密钥作为表单参数包含在 HTTP 请求体中的情况。
例如，一个前端应用通过 HTTP POST 请求向身份认证服务器发送用户凭证，其中包含了业务系统密钥作为表单参数。
业务系统密钥 basic(Client secret basic)：
场景： 适用于业务系统利用 HTTP Basic 身份认证方案的情况。
案例： 某个后端服务通过 HTTP Basic Authentication 发送请求给身份认证服务器，身份认证服务器通过基本身份认证方式验证请求的合法性。
签名的 JWT：
场景： 适用于业务系统创建数字签名的 JWT 并进行身份认证的情况。
例如， 一个在线学习平台的网页应用，用户登录后需要获取个人课程信息和学习记录等敏感数据。为了保证数据的安全性和完整性，网页应用使用签名 JWT 进行身份验证和授权。
使用业务系统密钥签名的 JWT：
场景： 适用于业务系统构建带有消息认证码（MAC）的 JWT 进行身份认证的情况。
例如， 某个服务端应用生成带有 MAC 的 JWT，其中包含业务系统密钥签名，用于向身份认证服务器发送请求进行身份验证。
自签名 X509 证书：
场景： 适用于业务系统使用自签名 X509 证书进行身份认证的情况。
例如， 一个服务端应用使用自签名 X509 证书进行 HTTPS 通信，身份认证服务器通过验证证书来确认请求的合法性。
由信任的证书颁发机构签发的 X.509 证书：
场景： 适用于业务系统使用由信任的证书颁发机构签发的 X.509 证书进行身份认证的情况。
例如， 一个网站使用由受信任的证书颁发机构签发的 SSL 证书进行安全通信，身份认证服务器通过验证证书来确认请求的合法性。
PKCE：
场景： 适用于业务系统使用 PKCE 进行授权码流程的情况，通常用于前端应用的安全性。
例如， 一个单页应用通过 PKCE 生成临时的密钥，并将其用于授权码流程中，确保授权请求的安全性和合法性。

3 配置凭证

1、点击"凭证"菜单，进入配置业务系统凭证页面，选择所需的"身份认证方法"，并配置所需参数后，点击"保存"按钮即可。