Oauth 2.0 OpenID连接是如何工作的？_Oauth 2.0_Openid Connect

Oauth 2.0 OpenID连接是如何工作的？

oauth-2.0

Oauth 2.0 OpenID连接是如何工作的？,oauth-2.0,openid-connect,Oauth 2.0,Openid Connect,有人能为我解释一下这个用例吗。我们向将登录到第三方客户端应用程序的用户发送wave。使用OAUTH2框架，客户端应用程序将重定向到我们的站点进行身份验证。授权服务器将从我的Understanding返回一个访问令牌和一个id_令牌（OpenID Connect） 1）如果用户通过我们的身份验证并重定向到客户机应用程序，如果他们离开客户机应用程序并在几个小时后返回到客户机应用程序，他们是否仍需要通过整个重定向到我们的/授权端点以重新验证 2）如果用户通过我们的身份验证并重定向到客户端应用程序，

有人能为我解释一下这个用例吗。我们向将登录到第三方客户端应用程序的用户发送wave。使用OAUTH2框架，客户端应用程序将重定向到我们的站点进行身份验证。授权服务器将从我的Understanding返回一个访问令牌和一个id_令牌（OpenID Connect）

1）如果用户通过我们的身份验证并重定向到客户机应用程序，如果他们离开客户机应用程序并在几个小时后返回到客户机应用程序，他们是否仍需要通过整个重定向到我们的/授权端点以重新验证

2）如果用户通过我们的身份验证并重定向到客户端应用程序，如果他们离开客户端应用程序并进入我们的站点，他们是否必须再次登录以进行身份验证

基本上，OpenID通过OAUTH2连接是否允许用户登录一次，然后在随后访问第三方应用程序或我们的应用程序后不必再次登录

谢谢

这取决于两件事：

a。如果客户端应用程序维护一个会话，而该会话尚未过期，则用户将根本不会被重定向

b。如果客户端会话超时，用户将被重定向，但如果IDP仍在运行身份验证会话，则用户将不必进行身份验证，并将使用新令牌立即发送回客户端应用

这取决于IDP会话是否存在/超时

本质上，身份提供者对用户进行身份验证，并决定如何进行身份验证。它可以提示输入凭据，但也可以为用户创建和维护身份验证会话（通常）一段有限的时间，这允许真正的单点登录（SSO）

还请注意，此行为不取决于手头的确切协议（OpenID Connect、OAuth甚至SAML）：它对将用户重定向到联邦SSO系统中的身份提供程序的任何协议都起相同的作用。

在OpenID Connect中，RP的会话通常在RP验证最终用户的ID令牌时启动。ID令牌由过期时间组成。因此，如果用户刚刚离开（未注销），并且在访问RP时id_令牌过期，那么最终用户需要重新验证

如果最终用户从依赖方注销，并且OpenID提供程序支持注销机制，如OIDC会话管理、OIDC前端通道注销或OIDC后端通道注销，则共享同一浏览器会话的所有RP都将注销（SLO）。然后，最终用户需要再次登录OP以访问RPs