统一身份认证,一个账号安全登录
你被某个应用引导到这里,是为了用一个账号安全完成登录。OneAuth 是 hekmon 旗下产品共用的身份认证服务,负责核验你的身份后,把你安全送回原来的应用。
为什么我会看到这个页面?
这是预期内的安全步骤,不是异常。
你的登录被集中托管
多个产品共用 OneAuth 完成登录,因此第三方登录提示中会显示本服务的名称,而不是每个应用各自的域名。一次验证即可在接入的产品间复用身份。
验证后会自动返回
完成登录后,OneAuth 会立即把你重定向回发起请求的应用。本页面不会留存你的登录态,也不会要求你在此处停留。
安全机制
身份核验全程遵循公开标准,关键环节可被独立验证。
- 标准协议
- 完全基于 OAuth 2.0 与 OpenID Connect,授权流程与令牌格式可被任意合规客户端校验。
- 非对称签名令牌
- 身份令牌使用
ES256椭圆曲线签名,应用通过公开的 JWKS 端点独立验证,私钥从不离开服务端。 - 强制 PKCE
- 授权码流程强制
S256校验,防止授权码在回跳途中被拦截重放。 - 短时效令牌
- 访问令牌默认 15 分钟过期,刷新令牌定期轮换;过期凭证由定时任务自动清理。
- 不托管第三方密码
- 通过 Google、GitHub、Apple、微信联合登录时,OneAuth 仅接收身份结果,不接触也不存储你在这些平台的密码。
支持的登录方式
具体可用的方式由各个应用按需开启,并非所有应用都启用全部选项。
GoogleGitHubApple微信邮箱验证码
登录是如何完成的
从应用发起到带着身份返回,整个过程通常在数秒内结束。
1
应用发起授权
你正在使用的应用把你重定向到 OneAuth,并声明所需的身份范围。
2
OneAuth 核验身份
你选择一种登录方式完成验证,OneAuth 签发经签名的身份令牌。
3
携带令牌回跳
验证完成后立即把你送回原应用,应用凭令牌确认你的身份。
这里不提供直接登录入口
OneAuth 是身份认证基础设施,本页面仅作说明用途。请始终从你要使用的应用内发起登录,不要在此页或任何非预期页面输入账号信息,以防钓鱼。