Oauth 2.0 为什么可以';我不能使用OAuth进行身份验证吗?
使用OAuth时,ressource所有者需要输入其凭据 每次ressource所有者访问我的应用程序时,如果他们没有连接到第三方授权服务器,他们将始终必须输入他们的凭据 为什么我不能把它看作是我的应用程序的身份验证?Oauth 2.0 为什么可以';我不能使用OAuth进行身份验证吗?,oauth-2.0,openid-connect,Oauth 2.0,Openid Connect,使用OAuth时,ressource所有者需要输入其凭据 每次ressource所有者访问我的应用程序时,如果他们没有连接到第三方授权服务器,他们将始终必须输入他们的凭据 为什么我不能把它看作是我的应用程序的身份验证? 为什么人们向我扔写有“OpenID连接”的石头 在某些情况下,人们确实使用OAuth2.0访问令牌进行身份验证。e、 g.如果访问令牌是非加密值类型令牌(例如JWT),那么客户端应用程序很容易从访问令牌中取出身份验证信息 但是,访问令牌并不打算由客户端使用,而是传递给用户已授权访
为什么人们向我扔写有“OpenID连接”的石头 在某些情况下,人们确实使用OAuth2.0访问令牌进行身份验证。e、 g.如果访问令牌是非加密值类型令牌(例如JWT),那么客户端应用程序很容易从访问令牌中取出身份验证信息 但是,访问令牌并不打算由客户端使用,而是传递给用户已授权访问的资源API 客户机现在可能知道如何从令牌中获取用户id,但不能保证令牌格式将来不会更改,或者切换到加密状态。这会破坏客户机,因为它依赖于不适合它的东西 访问令牌是为资源服务器设计的
- 令牌的格式、安全性和内容由资源服务器和授权服务器商定李>
- 这就是人们向你扔OpenId连接的原因。它是客户端可以依赖的固定格式令牌。OpenId Connect还提供了会话管理等有用的功能