¿OpenID Connect admite la concesión de credenciales de contraseña de propietario de recursos?
https://stackoverflow.com//questions/24047047
-
21-12-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
He estado usando el flujo de credenciales del propietario de recursos de OAuth anteriormente para la autorización.
Sin embargo, ahora me gustaría considerar el uso de openid connect a este ritmo, para autenticación y autorización, y me preguntaba si el flujo de credenciales del propietario del recurso es compatible con openid connect.
Solución
Sí, OpenID Connect es compatible con todos los tipos de subvenciones OAUTH 2.0, incluidas las credenciales de la contraseña del propietario de recursos, las credenciales de las credenciales de las credenciales del cliente.
Como sabemos, el código de autorización, la subvención y la subvención implícita son flujos típicos de 3 patas, incluida la interacción entre un cliente, un servidor de autorización y un usuario.Si bien la subvención de credenciales de la contraseña del propietario de la contraseña y la subvención de credenciales del cliente son de 2 patas, lo que significa que el cliente utiliza los ámbitos pre-autorizados para que no sea necesario interacción con el usuario, eliminando la necesidad de realizar una de las piernas en el flujo típico.
Aquí hay una referencia: Configuración de un proveedor OpenID Connect para habilitar las solicitudes de OAUTH de 2 patas
Otros consejos
La respuesta es sí. No es explícito en la especificación, sino que OpenID Connect admite todos los flujos de OAUTH 2.0, ya que es una extensión de OAUTH 2.0.
Las habla conversaciones sobre los flujos que involucran a Redirigir el navegador, ya que son más comunes, más seguros y menos frágiles, dado que las credenciales de los propietarios de recursos solo admiten el nombre de usuario y la contraseña y están solo en la especificación de OAUTH 2 para la compatibilidad con versiones anteriores.
En los verdaderos sistemas SSO, querrá abstraer el método de autenticación del usuario en el OP / IDP. Involucrar a un navegador es una forma de hacerlo. En la contraseña de la contraseña del propietario de recursos, el cliente "ve" el nombre de usuario / contraseña del propietario del recurso, a diferencia de los otros flujos, que derrota al propósito principal de un protocolo de SSO federado, como OpenID, se conecta cuando los mecanismos de autenticación y las credenciales deben ser independientes del cliente / aplicación. Por esa razón, no verá mucho uso de ROPC en OpenID Connect, con una excepción tal vez en los casos de uso intraempresariales.
Pero su kilometraje puede variar. Soporte en bibliotecas específicas de OP / como software y cliente.
Sí.A veces también encontraba la respuesta a la misma pregunta.Según la especificación OpenId Connect, se recomienda utilizar authorization code y implicit tipos de concesión para solicitudes de OpenId Connect.Pero no se menciona que no se pueden utilizar otros tipos de subvenciones.Por lo tanto, puede utilizar cualquier otro tipo de concesión para la solicitud de autenticación de OpenId Connect.Hay algún correo del grupo openid connect, que se ha discutido sobre esto.Por favor encuéntrelo en aquí.Si su servidor de autorización OAuth2 lo admite, supongo que está bien usarlo.Como sé, la mayoría de los servidores de autorización lo admiten, como ejemplo de aquí
