Пользователь или система, владеющие защищенными ресурсами и имеющие возможность предоставлять доступ к ним. В этой документации также используется термин конечный пользователь, когда владельцем ресурса является человек. Когда вы используете psql для подключения к базе данных с использованием OAuth, вы являетесь владельцем ресурса/конечным пользователем.

Система, которая получает доступ к защищенным ресурсам, используя токены доступа. Приложения, использующие libpq, такие как psql, являются клиентами OAuth при подключении к кластеру Tantor SE.

Система, размещающая защищенные ресурсы, к которым обращается клиент. Tantor SE кластер, к которому осуществляется подключение, является сервером ресурсов.

Организация, поставщик продукта или другое лицо, которое разрабатывает и/или администрирует серверы авторизации OAuth и клиентов для данного приложения. Разные провайдеры обычно выбирают разные детали реализации для своих систем OAuth; клиент одного провайдера, как правило, не имеет гарантированного доступа к серверам другого.

Это использование термина "провайдер" не является стандартным, но, похоже, широко используется в разговорной речи. (Его не следует путать с похожим термином OpenID "Поставщик идентификации". Хотя реализация OAuth в Tantor SE предназначена для взаимодействия и совместимости с OpenID Connect/OIDC, она сама по себе не является клиентом OIDC и не требует его использования.)

Система, которая получает запросы от клиента и выдает токены доступа после того, как аутентифицированный владелец ресурса дал одобрение. Tantor SE не предоставляет сервер авторизации; это ответственность провайдера OAuth.

Идентификатор для сервера авторизации, напечатанный как https:// URL, который предоставляет доверенное "пространство имен" для OAuth клиентов и приложений. Идентификатор издателя позволяет одному серверу авторизации общаться с клиентами взаимно недоверяющих сущностей, при условии, что они поддерживают отдельных издателей.

HTTPS URL, который является либо точным идентификатором издателя сервера авторизации, как определено в его документе обнаружения, либо общеизвестным URI, который указывает непосредственно на этот документ обнаружения. Этот параметр обязателен.

Когда клиент OAuth подключается к серверу, URL для документа обнаружения будет сформирован с использованием идентификатора издателя. По умолчанию, этот URL использует соглашения OpenID Connect Discovery: путь /.well-known/openid-configuration будет добавлен в конец идентификатора издателя. В качестве альтернативы, если issuer содержит сегмент пути /.well-known/, этот URL будет предоставлен клиенту как есть.

Список областей действия OAuth, разделенных пробелами, необходимых для того, чтобы сервер мог как авторизовать клиента, так и аутентифицировать пользователя. Соответствующие значения определяются сервером авторизации и используемым модулем проверки OAuth (см. Глава 49 для получения дополнительной информации о валидаторах). Этот параметр обязателен.

Библиотека для использования при проверке токенов-носителей. Если указано, имя должно точно совпадать с одним из библиотек, перечисленных в oauth_validator_libraries. Этот параметр является необязательным, если только oauth_validator_libraries не содержит более одной библиотеки, в этом случае он обязателен.

Позволяет сопоставлять между поставщиком удостоверений OAuth и именами пользователей базы данных. См. Раздел 20.2 для подробностей. Если карта не указана, имя пользователя, связанное с токеном (как определено валидатором OAuth), должно точно совпадать с запрашиваемым именем роли. Этот параметр является необязательным.

Расширенная опция, не предназначенная для обычного использования.

Когда установлено значение 1, стандартное сопоставление пользователей с pg_ident.conf пропускается, и валидатор OAuth полностью отвечает за сопоставление идентичностей конечных пользователей с ролями базы данных. Если валидатор авторизует токен, сервер доверяет, что пользователю разрешено подключаться под запрашиваемой ролью, и подключение разрешается независимо от статуса аутентификации пользователя.

Этот параметр несовместим с map.