Warning: file_get_contents(/data/phpspider/zhask/data//catemap/1/database/9.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Oauth 2.0 为什么可以';我不能使用OAuth进行身份验证吗?_Oauth 2.0_Openid Connect - Fatal编程技术网
Fatal编程技术网
  • oauth-2.0/
  • Oauth 2.0 为什么可以';我不能使用OAuth进行身份验证吗?

Oauth 2.0 为什么可以';我不能使用OAuth进行身份验证吗?

oauth-2.0

Oauth 2.0 为什么可以';我不能使用OAuth进行身份验证吗?,oauth-2.0,openid-connect,Oauth 2.0,Openid Connect,使用OAuth时,ressource所有者需要输入其凭据 每次ressource所有者访问我的应用程序时,如果他们没有连接到第三方授权服务器,他们将始终必须输入他们的凭据 为什么我不能把它看作是我的应用程序的身份验证? 为什么人们向我扔写有“OpenID连接”的石头 在某些情况下,人们确实使用OAuth2.0访问令牌进行身份验证。e、 g.如果访问令牌是非加密值类型令牌(例如JWT),那么客户端应用程序很容易从访问令牌中取出身份验证信息 但是,访问令牌并不打算由客户端使用,而是传递给用户已授权访

使用OAuth时,ressource所有者需要输入其凭据

每次ressource所有者访问我的应用程序时,如果他们没有连接到第三方授权服务器,他们将始终必须输入他们的凭据

为什么我不能把它看作是我的应用程序的身份验证?
为什么人们向我扔写有“OpenID连接”的石头

在某些情况下,人们确实使用OAuth2.0访问令牌进行身份验证。e、 g.如果访问令牌是非加密值类型令牌(例如JWT),那么客户端应用程序很容易从访问令牌中取出身份验证信息

但是,访问令牌并不打算由客户端使用,而是传递给用户已授权访问的资源API

客户机现在可能知道如何从令牌中获取用户id,但不能保证令牌格式将来不会更改,或者切换到加密状态。这会破坏客户机,因为它依赖于不适合它的东西

访问令牌是为资源服务器设计的

  • 令牌的格式、安全性和内容由资源服务器和授权服务器商定
Id令牌是为客户(依赖方)即您的应用程序而设计的

  • 这就是人们向你扔OpenId连接的原因。它是客户端可以依赖的固定格式令牌。OpenId Connect还提供了会话管理等有用的功能
oAuth(开放授权)是一种协议,旨在实现资源服务器和身份服务器之间的委托授权流。Identity server是一个包含用户信息的应用程序。资源服务器是用户想要访问的应用程序,并且该应用程序配置有所述身份服务器。Identity server在获得所述应用程序的用户同意后生成访问令牌而不是id令牌。访问令牌包含所有特定于授权的数据,此外还可能包含一些您可能认为是身份验证数据的信息。如果身份提供者选择使用不同的格式(仅对资源服务器可用)并跳过特定于身份验证的数据,则出于身份验证目的依赖委托授权响应可能会在将来产生问题