没有OIDC的OAuth2.0 (平原OAuth2.0)

Question

据我所知，我们可以用不同帐户登录的应用程序使用OpenID连接(OAuth2.0的概要文件)。

OAuth用于授权，OIDC用于身份验证(它具有ID令牌-用户信息端点)。

• 那么，在OIDC之前不能使用OAuth从另一个应用程序帐户登录到应用程序吗？(如果可能的话，怎么做？)
• 如果普通的OAuth不能用于身份验证，那么它用于什么？ 我的意思是“授权”到底是怎么回事？ 它从访问令牌的资源服务中得到了什么？

Answer 1

我一直觉得这个行话没什么用，所以我理解你的困惑。这是一个简单的英文摘要：

OAuth 2.0

在OIDC应用程序使用OAuth 2.0获取令牌之前，这涉及到可选的用户同意。获得代币的过程被称为“委托”。

实际上，为了确保系统的安全，所有真实的OAuth 2.0提供程序也都包含了身份验证。在OAuth规范中没有定义如何进行身份验证。

OAuth主要是保护数据，其中作用域和声明是机制。这些链接提供了更多信息：

• IAM Primer
• 范围最佳做法
• 索赔最佳做法

OIDC

这只是对身份验证之前和之后的身份验证消息应该如何工作增加了一些更清晰的定义：

• 客户端只需包含一个openid作用域以使用OpenID连接
• 客户端可能在重定向期间通过prompt=login参数强制登录。
• 客户端可以通过acr_values参数请求身份验证方法。
• 一旦身份验证完成，客户端将收到ID令牌(断言)，如果需要，可以对其进行数字验证，然后使用其中的信息(如用户名)。

然而，OIDC仍然没有定义实际身份验证的工作方式。

和一起使用它们

现在几乎所有的OAuth安全应用程序(和库)都同时使用这两者，因此身份验证和委托都使用基于标准的解决方案。它为您提供了最佳的应用程序特性和设计模式，以更好地实现安全性。