用户数据隐私保护

“SiX统一认证与授权” 为平台原生 IdP 和联邦认证 IdP 部署了“隐私优先设计（Privacy-by-Design)”框架。该框架通过 OAuth 2.0 作用域（Scopes）实现细粒度的用户数据治理，确保客户端应用仅能访问经过用户明确授权的数据资产。

实现数据分享授权流程

为了确保用户对其共享的数据具有完全的知情权和掌控权，管理员可以按照以下步骤启用并配置授权流程：

1. 配置 OAuth 客户端授权策略

管理员在 “SiX统一认证与授权” 控制台注册或编辑 OAuth 客户端时，可以启用 “是否需要用户显式授权？” 配置选项。

开启此项后，每当客户端应用请求访问特定的用户属性（如邮箱、手机号或个人档案）时，系统都会拦截认证流程并向用户展示正式的授权提示。

2. 用户授权数据共享范围

配置生效后，用户在首次登录该应用时会看到一个清晰的授权界面。用户可以逐项查看应用请求访问的数据范围（Scopes），并选择是否同意共享这些信息。

3. 基于 JWT Claims 的严格验证

为了维护隐私框架的完整性，身份提供者（IdP）必须确保数据流向的安全性。

IdP 管理员的技术实践： 为了保持高标准的隐私保护，身份提供者（IdP）管理员必须配置系统，对所有传出的令牌（Tokens）进行严格的脱敏处理。 身份提供者（IdP）有责任确保所请求的用户信息仅包含与用户在授权步骤中“明确同意的作用域（Scopes）”相对应的特定用户属性