هل يدعم OpenID Connect منح بيانات اعتماد كلمة مرور مالك المورد؟
https://stackoverflow.com//questions/24047047
-
21-12-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
لقد كنت أستخدم تدفق بيانات اعتماد مالك مورد OAuth سابقًا للحصول على الترخيص.
ومع ذلك، أود الآن أن أفكر في استخدام openid Connect في وتيرة هذا، للمصادقة والترخيص، وكنت أتساءل عما إذا كان تدفق بيانات اعتماد مالك المورد مدعومًا في openid Connect.
المحلول
نعم، يدعم OpenID Connect جميع أنواع منحة OAUTH 2.0 بما في ذلك منح بيانات اعتماد كلمة مرور مالك الموارد ومنحة بيانات اعتماد العميل.
كما نعرف، فإن منحة رمز التفويض ومنحة ضمنية هي تدفقات نموذجية ذات أرجل ذات ثلاث أرجل بما في ذلك التفاعل بين العميل وخادم التفويض ومستخدم.في حين أن منحة بيانات اعتماد ملكية الموارد ومنحة اعتماد العميل هي 2 أرجلتين مما يعني أن العميل يستخدم النطاقات المعتمدة مسبقا بحيث لا يوجد أي تفاعل مع المستخدم ضروري، وإزالة الحاجة إلى أداء واحدة من الساقين في التدفق النموذجي.
هنا هو مرجع: تكوين موفر اتصال OpenID لتمكين طلبات OAuth 2-أرجل
نصائح أخرى
الجواب نعم. لا يتضح في المواصفات، لكن OpenID Connect يدعم جميع تدفقات OAuth 2.0 لأنها تمديد OAuth 2.0.
محادثات المواصفات حول التدفقات التي تنطوي على إعادة توجيه المتصفح لأنها أكثر شيوعا وأكثر أمانا وأقل هشة معينة أن بيانات اعتماد مالك الموارد يدعم فقط اسم المستخدم وكلمة المرور فقط وهي فقط في OAuth 2 المواصفات للتوافق مع الوراء.
في أنظمة SSO الحقيقية التي ترغب في مجردة بعيدا عن طريقة مصادقة المستخدم في OP / IDP. إشراك متصفح هو وسيلة للقيام بذلك. في بيانات اعتماد كلمة مرور مالك الموارد تدفق العميل "يرى" اسم المستخدم / كلمة المرور لمالك الموارد على عكس التدفقات الأخرى، والتي تهزم الغرض الأساسي لبروتوكول SSO الموحد مثل OpenID Connect حيث يجب أن تكون آليات المصادقة وبيانات الاعتماد مستقلة عن العميل / برنامج. لهذا السبب لن ترى الكثير من استخدام ROPC في OpenID Connect، مع استثناء ربما في حالات استخدام Interra-Enterprise.
لكن الأميال الخاص بك قد تختلف WRT. الدعم في أجهزة OP / كبرامج ومكتبات عميلية محددة.
نعم.كنت أيضًا أجد إجابة لنفس السؤال أحيانًا.وفقًا لمواصفات OpenId Connect، يوصى باستخدامه authorization code و implicit أنواع المنح لطلبات OpenId Connect.ولكن لم يذكر أنه لا يمكن استخدام أنواع المنح الأخرى.ولذلك يمكنك استخدام أي أنواع منح أخرى لطلب مصادقة OpenId Connect.هناك بعض البريد من مجموعة openid Connect، والتي تمت مناقشتها في هذا الشأن.يرجى العثور عليه من هنا.إذا كان خادم ترخيص OAuth2 الخاص بك يدعمه، فأعتقد أنه من الجيد استخدامه.وكما أعلم فإن معظم خوادم التفويض تدعمه، كمثال من هنا
