在网络安全中,“凭证”是指用于验证身份的各种类型的信息,通常包括用户 ID、密码、生物特征数据或令牌。 此类认证数据有时也被专门称为“凭证信息”。
大多数系统通常采用一对用户 ID 和密码作为标准凭证。 然而,对于需要高级安全措施的系统,通常会结合使用额外的凭证因素(例如生物特征属性(指纹、面部识别等)或一次性密码 (OTP))来增强安全保障。
凭证不仅限于用户身份(人类身份)。 在多个互联网服务集成或联合的场景中,OAuth 等身份验证和授权框架促进了授权信息的交换。 在 OAuth 中,请求服务(客户端)从用户接收“授权许可”,然后将其作为凭证呈现给授权服务器。 负责提供服务的授权服务器对客户端进行身份验证、接受这些凭证并生成访问令牌。 然后客户端使用此访问令牌从服务器请求资源。 在某些情况下,这些令牌本身也被称为凭证。