存取權杖是用戶端應用程式代表使用者向後端伺服器存取資源時使用的憑證。在已登入的工作階段中,用戶端對後端的請求應夾帶存取權杖。存取權杖可以採用多種格式,而 JWT 是常見的選擇。
Admin API 提供 GraphQL 介面,讓開發者可以從自己的程式碼或自訂應用程式與 Authgear 上的服務及資料互動。
您也可以在 Authgear Portal 中使用 GraphiQL Explorer 檢視 GraphQL Schema,並建立查詢與變更操作。
匿名使用者是指帳號上沒有任何身分(例如電子郵件或電話號碼)的使用者,但日後可以升級為一般使用者。
這個概念讓您可以在網站或應用程式上為訪客建立暫時帳號,讓他們能在以電子郵件或電話號碼註冊前先體驗功能。將匿名使用者升級時,其 sub(使用者 ID)的值會保持不變,因此您可以輕鬆地在使用者註冊後串接其先前的活動紀錄。
Authgear 預設為您的專案提供可自訂的登入、註冊與個人資料設定頁面使用者介面(UI)。這些頁面合稱為 Auth UI。
Authgear 中有兩種稽核紀錄。「Audit Log For Users Activities」可讓您監控終端使用者的變更與行為,例如新增電話號碼、登入、登出等;而「Audit Log For Admin API」可讓您分析發生在 Admin API 與 Authgear Portal 上的活動。
Authgear 端點(或專案端點)是指向您 Authgear 專案的有效網域。Authgear 端點有許多用途,例如將用戶端應用程式連線至 Authgear 專案,或將使用者導向您的登入與註冊頁面。要快速找出 Authgear 端點,可以前往 Authgear Portal 的 Custom Domains,標示為綠色 Active 狀態的網域即為您的端點。
身份驗證是確認應用程式上使用者身分的程序。Authgear 支援多種驗證方式,包括電子郵件、行動電話、使用者名稱、密碼、OTP、Passkey、生物辨識、社交與企業登入。
授權是依據使用者身分決定是否允許存取資源的程序。例如使用者可以授權某個用戶端應用程式存取自己在 Authgear 上的資料,但這個授權不能用來存取其他使用者的資料。
在 OAuth 2.0 Authorization Code Flow 中,當使用者同意授權後,授權伺服器會透過 redirect URI 將授權碼傳送給用戶端,用戶端再以授權碼換取存取權杖。
這些是用戶端應用程式中合法頁面的網址,使用者完成驗證後會被導向這些頁面。通常這是您實作從 URL 參數讀取授權碼,並使用授權碼向 Authgear 換取存取權杖的頁面。
在 Authgear 中,您也可以在 Authorized Redirect URIs 設定匿名使用者升級後要導向的頁面。
生物辨識驗證讓您可以使用指紋、人臉等生物特徵驗證應用程式上的使用者。它運用裝置原生功能,例如 iOS 上的 FaceID 與 Keychain、Android 上的 Keystore,因此 Authgear 不會儲存任何生物辨識資料。此功能僅在 Android 6.0+ 與 iOS 11.3+ 上可用。
阻擋型事件會在使用者建立等操作執行前觸發,並會封鎖該操作直到對應的 Hook 回傳含有 is_allowed 為 true 的 JSON。
Authgear 支援的阻擋型事件包含:user.pre_create、user.profile.pre_update、user.pre_schedule_deletion 與 oidc.jwt.pre_create 等。
Claim 包含可用來識別使用者或應用程式的資訊,通常會夾帶在 JWT 等驗證權杖中,內容可能包含使用者名稱、scope 與角色等。
您可以參考相關文章,將自訂欄位加入 Authgear 的 JWT 存取權杖,以滿足特定需求。
這是用來識別您 Authgear 應用程式的唯一字串,當用戶端應用程式發送請求時會帶上它。
Client Secret 是與 Client ID 一起傳送的機密字串,用於在 Authgear 伺服器上驗證您的用戶端應用程式。
Turnstile 是 Cloudflare 提供的服務,可在不需要使用者解圖形驗證的情況下保護網站免於機器人與自動化濫用。它會在背景分析使用者行為以判斷是否為真人,並僅在偵測到可疑行為時才要求互動。在 Authgear 中,Cloudflare Turnstile 是您可以整合用於防止機器人攻擊的服務之一。
自訂屬性可讓您在使用者屬性中新增額外欄位,協助您捕捉標準屬性未包含的資料。
FIDO2 是一項開放的驗證標準,以公鑰密碼學取代傳統密碼(Passkey),讓使用者可以安全且無密碼地登入線上服務。它支援以生物辨識、PIN 或實體安全金鑰進行驗證,確保私鑰永不離開裝置,有效抵抗釣魚攻擊與帳密竊取。
reCAPTCHA 是 Google 提供的安全服務,協助網站區分真人使用者與自動化機器人,防止垃圾訊息、濫用以及帳密填充與假帳號等詐騙行為。在 Authgear 中,Google reCAPTCHA 是您可以整合用於防止機器人攻擊的服務之一。
Groups 是 Authgear 中的存取管理功能,可讓您建立一或多個群組、為群組指派角色,並把使用者加入群組。
當使用者屬於某個群組時,該群組擁有的所有角色都會出現在其使用者資料中。詳情請參閱我們的 Roles 與 Groups 文件。
JWT 為 JSON Web Token 的縮寫。JWT 是自包含的權杖,可在伺服器與用戶端之間安全地傳遞驗證與授權資訊。
JavaScript / TypeScript Hooks 是 Authgear Portal 上的功能,讓您撰寫自訂的 JavaScript / TypeScript 程式碼,在特定事件觸發時執行。其運作方式與傳統 Webhook 類似,但無須將指令稿託管在外部伺服器上。
Magic Link,又稱 Email Login Link(電子郵件登入連結),是一種免密碼的驗證方式;系統會將獨一無二的登入連結寄到使用者的電子郵件,取代傳統密碼。
多因素驗證(MFA)是一種應用程式安全機制,要求使用者提供兩個以上的驗證因素來證明身分。例如同時要求輸入密碼(知道的東西)以及收到的手機 OTP(擁有的東西)。
M2M(Machine-to-Machine)權杖是供軟體系統或裝置之間相互驗證與授權的存取權杖,過程中不需要人為介入。這類權杖通常透過 OAuth 2.0 的 Client Credentials Flow 發行,讓受信任的服務透過在 API 請求中帶上權杖來安全存取受保護資源。
非阻擋型事件是不會封鎖觸發操作的 Hook 事件。當 Authgear 上發生事件時,您可以接到通知並執行自訂邏輯。
一次性密碼(OTP)是自動產生、僅在單次登入工作階段或交易中有效的代碼,相較於靜態密碼提供更高安全性。OTP 通常透過 SMS、電子郵件或驗證器 App 傳送,廣泛用於多因素驗證,以降低未授權存取與密碼重複使用、攔截的風險。
OAuth 是一項開放授權標準,讓使用者可以安全地授權第三方應用程式存取自己的個人資料與資源,而無須交出密碼。
Authgear 支援 OAuth 2.0 標準,您可以使用它從自訂應用程式存取使用者資料。
OpenID Connect(OIDC)是建構於 OAuth 2.0 之上的驗證協定,讓應用程式可以透過授權提供者的資料驗證使用者身分。
您可以將 Authgear 作為 OpenID Connect Provider,讓應用程式可以驗證使用者身分,而不需要自行儲存或管理使用者密碼。
Passkey 是現代的免密碼登入方式。使用 Passkey 時,使用者的瀏覽器或作業系統會協助挑選與該網站或應用程式帳號對應的 Passkey,並透過裝置上的生物辨識或 PIN 驗證使用者身分,可取代傳統 OTP 或生物辨識登入。
泛指任何不需要使用者記住與輸入密碼的登入方式,例如以一次性代碼或登入連結驗證使用者身分。
您的 Authgear 專案就像一個容器,存放與您 Authgear 實作相關的所有設定與資料。您可以為不同的實作建立多個專案,以區隔設定與資料,每個專案都有獨立的網址供您互動使用。
角色型存取控制(RBAC)是一種安全模型,依據使用者在組織中預先定義的角色來授予系統、應用程式與資料的權限。RBAC 不會為每位使用者單獨設定權限,而是把使用者依角色(例如管理員、HR 主管、終端使用者)分組,並依該角色的職責授予存取權限,簡化管理並落實最小權限原則,提升安全性。
在 Authgear 中可以為使用者指派角色以實作 RBAC。角色會以陣列形式透過 Authgear JWT 存取權杖與 UserInfo 中的 https://authgear.com/claims/user/roles 屬性回傳。
重新驗證是指在已驗證的使用者執行敏感操作前,再次確認其身分的程序。此程序可避免使用者使用可能已被攻陷的舊授權執行敏感操作,藉此提升安全性。
更新權杖是一種特殊的權杖,讓您可以在不重新驗證使用者的情況下取得新的存取權杖。
SAML(Security Assertion Markup Language)是一項開放標準,用於在身份提供者(IdP)與服務提供者(SP)之間安全交換驗證與授權資料,常用於跨多個 Web 應用程式的單一登入(SSO)。它以 XML 為基礎傳遞使用者身分與存取權限的斷言,使用者只需驗證一次,便可存取多個服務,而不需要重複登入。
SDK 為 Software Development Kit(軟體開發套件)的縮寫,是一組讓開發者為目標平台打造與除錯應用程式的工具與程式碼。Authgear 提供多種語言、框架與平台的 SDK,例如 JavaScript / React Native、Android、iOS、Flutter、Xamarin。
單一登入(SSO)是一種驗證方式,讓使用者只需登入一次,就可以存取多個應用程式而不必為每個應用程式重新登入。
在 Authgear 中,您可以為共用同一個 Authgear 專案的多個應用程式啟用 SSO。
Authgear 簡化了讓使用者以既有 Facebook、Google、LinkedIn、Github、Apple 等社交平台帳號登入您應用程式的流程。
您可以在 Authgear Portal 的 Authentication > Social / Enterprise Login 中啟用此功能。
標準屬性是常見的使用者屬性,例如電子郵件、電話號碼、姓名、性別與生日。標準屬性的欄位由 Authgear 定義,您可以在 User Profile > Standard Attributes 查看完整清單。
TOTP 是 Time-based One-time Password(基於時間的一次性密碼)的縮寫,屬於雙因素驗證(2FA)的一種,使用者需輸入由 Google Authenticator、Authy 等行動 App 產生、會隨時間變動的單次代碼。
使用者首次使用前需在欲登入的服務上掃描 QR Code 或輸入秘密金鑰來註冊裝置。
使用者匿名化是指刪除一般使用者的身分與其他資料的程序,匿名化後僅保留使用者 ID。您可以立即匿名化使用者,或安排排程匿名化。
使用者刪除是指完整刪除使用者帳號及其所有相關資料的程序,可立即執行或排程刪除。
User Settings 是 Authgear 提供的 Auth UI 預設頁面之一,使用者可以在此檢視帳號詳情與設定。
UserInfo Endpoint 是 Authgear 應用程式中的一個 HTTP 端點,用戶端應用程式可代表已驗證的使用者向其請求帳號資訊。此端點會回傳 JSON 格式的回應,包含使用者的電子郵件與 sub 等資料。
Webhook 是一種將某個 Web 應用程式上的事件通知傳送到另一個 Web 應用程式的方式。
當 Authgear 上發生新使用者建立等事件時,Webhook 會向您指定的網址發送 HTTP POST 請求,請求內含與事件相關的資料。透過 Webhook,您可以為 Authgear 專案實作更多自訂功能。
YubiKey 是 Yubico 開發的小型硬體安全裝置,使用者必須實際插入或感應該金鑰才能完成驗證,藉此為電腦、網路與線上服務提供強驗證。它支援 FIDO2 標準,沒有實體金鑰就無法存取,具高度的釣魚攻擊與帳號接管抗性。
零信任是一種安全模型,假設組織網路內外的任何使用者、裝置或系統預設皆不可信任,每次存取請求都需嚴格驗證身分並進行持續驗證。它不依賴傳統的網路邊界,而是落實最小權限存取、細緻控管與持續監控,以降低資料外洩風險,並阻止攻擊者在網路內橫向移動。
