Unterstützt OpenID Connect die Gewährung von Ressourcenbesitzer-Passwortanmeldeinformationen?
https://stackoverflow.com//questions/24047047
-
21-12-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ich habe zuvor den Anmeldeinformationsfluss des OAuth-Ressourcenbesitzers für die Autorisierung verwendet.
Jetzt würde ich jedoch gerne die Verwendung von openid connect für die Authentifizierung und Autorisierung in Betracht ziehen und frage mich, ob der Anmeldeinformationsfluss des Ressourceneigentümers in openid connect unterstützt wird.
Lösung
yes, openid connect unterstützt alle OAuth 2.0-Grant-Typen, einschließlich Ressourceninhaber-Kennwortanmeldeinformationen Grant und Client-Anmeldeinformationen gewähren.
Wie wir wissen, sind Autorisierungscode Grant und implizite Zuschuss typische 3-lebige Flüsse einschließlich der Interaktion zwischen einem Client, einem Autorisierungsserver und einem Benutzer.Während der Ressourceninhaber-Kennwort-Anmeldeinformations-Gewährung und der Client-Anmeldeinformations-Gewährung 2-Beiniggedp>
Hier ist eine Referenz: Konfigurieren eines OpenID Connect-Anbieters, um 2-Beinen-OAuth-Anforderungen zu aktivieren
Andere Tipps
Die Antwort ist ja. Es ist nicht explizit in der Spezifikation, aber OpenID Connect unterstützt alle OAuth 2.0-Flüsse, da es eine Erweiterung von OAuth 2.0 ist.
Die Spec spricht über die Flüsse, die Browser-Umleitungen beinhalten, da sie häufiger, sicherer und weniger brüchiger, da der Ressourceninhaber nur den Benutzernamen und das Kennwort unterstützt und nur in der OAuth 2-Spezifikation für die Rückwärtskompatibilität in der OAuth 2-Spec ist.
In echten SSO-Systemen möchten Sie von der Methode der Authentifizierung des Benutzers an der OP / IDP abgründen. Einschließlich eines Browsers ist ein Weg, um das zu tun. In den Ressourceninhaber-Kennwortanmeldeinformationen fließen den Client "sieht" den Benutzernamen / das Kennwort des Ressourceneigentums im Gegensatz zu den anderen Flüssen, die den Hauptzweck eines föderierten SSO-Protokolls wie OpenID-Verbindung besiegt, wenn Authentifizierungsmechanismen und Anmeldeinformationen unabhängig vom Client sind / App. Aus diesem Grund sehen Sie nicht viel Verwendung von ROPC in OpenID Connect, mit einer Ausnahme, möglicherweise in Intra-Enterprise-Anwendungsfällen.
Aber Ihre Kilometerzahl kann wrt variieren. Unterstützung in bestimmten OP / AS-Software- und Clientbibliotheken.
Ja.Ich habe auch manchmal eine Antwort auf dieselbe Frage gefunden.Gemäß der OpenId Connect-Spezifikation wird die Verwendung empfohlen authorization code Und implicit Gewährungstypen für OpenId Connect-Anfragen.Es wird jedoch nicht erwähnt, dass andere Förderarten nicht genutzt werden können.Daher können Sie für die OpenId Connect-Authentifizierungsanfrage beliebige andere Gewährungstypen verwenden.Es gibt einige E-Mails von der openid connect-Gruppe, die hierzu besprochen wurden.Bitte finden Sie es unter Hier.Wenn Ihr OAuth2-Autorisierungsserver dies unterstützt, ist die Verwendung meiner Meinung nach in Ordnung.Wie ich weiß, unterstützen die meisten Autorisierungsserver dies, als Beispiel aus Hier
