Tôi đã đọc một số lần viết khác nhau về điều này ngay bây giờ, nhưng tôi vẫn chưa rõ ràng về giá trị chính mà OpenID Connect cung cấp trên OAuth 2.0.Kết nối OpenID nào thêm vào OAuth 2.0 (tại sao OAuth 2.0 không đủ để xác thực?)
Hiểu biết của tôi:
Khi nhận mã thông báo truy cập qua luồng OAuth 2.0, khách hàng sẽ biết rằng người dùng đã được xác thực bởi máy chủ ủy quyền. Dường như OpenID Connect chỉ thêm một mã thông báo ID với thông tin người dùng - nhưng thông tin đó có thể là một phần của mã thông báo truy cập hoặc có sẵn thông qua tài nguyên được bảo vệ (như tài nguyên userDetails riêng biệt). Điều đó dường như không biện minh cho việc tạo OpenID Connect, vì vậy tôi chắc chắn rằng tôi thiếu một số thứ ...
Cảm ơn sự giúp đỡ của bạn!
Thêm các chi tiết khác quá dài để nhận xét. Cảm ơn bạn rất nhiều vì đã giúp đỡ bạn.
Tôi nghĩ rằng tôi đang tiến gần hơn, nhờ phản hồi của bạn. Vì vậy, tôi đã xem lại bài viết này: http://oauth.net/articles/authentication/. Nó nói rằng "OAuth nói hoàn toàn không có gì về người dùng". Tuy nhiên, bạn tin tưởng rằng cùng một dịch vụ để xác thực Người dùng cuối trước khi phát hành Mã thông báo truy cập. Trong "phần cạm bẫy phổ biến", bài viết thảo luận tại sao bạn không thể sử dụng mã thông báo truy cập để xác thực. Tôi có vấn đề sau đây với điều đó trong sự hiểu biết của tôi:
truy cập thẻ làm bằng chứng xác thực Các access token là bằng chứng xác thực tại một thời điểm nào trước khi. Nếu Khách hàng không muốn xác thực người dùng tại một số điểm sau khi nhận được mã thông báo truy cập, tại sao không chỉ lặp lại luồng Oauth hiện tại với người dùng cuối hiện tại đang cố truy cập ứng dụng khách?
Truy cập tài nguyên được bảo vệ dưới dạng bằng chứng Tương tự như trên - nếu khách hàng yêu cầu xác thực tại bất kỳ thời điểm nào, hãy lặp lại luồng Oauth.
Injection của thẻ truy cập Không rõ ràng như thế nào OpenID giúp này
Thiếu hạn chế khán giả Tại sao nó khó khăn hơn để tay một khách hàng ngây thơ một ID hợp lệ thẻ cùng với các thẻ truy cập? Điều này có liên quan chút nào với luồng phía máy chủ không? Và một lần nữa, có thể lặp lại luồng OAuth nếu cần.
Tiêm thông tin người dùng không hợp lệ Điều này dường như yêu cầu chữ ký chứ không phải mã thông báo riêng. Nếu luồng OAuth diễn ra qua HTTPS, có phải thêm bất kỳ bảo mật nào cho nhà cung cấp danh tính để ký chi tiết người dùng hai lần không?
Các giao thức khác nhau cho mọi nhà cung cấp nhận dạng tiềm năng Điều này có vẻ công bằng, nhưng mục đích duy nhất là chuẩn hóa mã thông báo được sử dụng cho thông tin người dùng.
Cảm ơn bạn đã tham khảo - Tôi đã xem qua và đọc lại ngay bây giờ, nhưng tôi không hoàn toàn rõ ràng về các bài giải thích bài viết - Tôi đã mở rộng các câu hỏi của mình ở trên. – allstar