OpenID Connect prend-il en charge l'attribution des informations d'identification du mot de passe du propriétaire de la ressource ?
https://stackoverflow.com//questions/24047047
-
21-12-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
J'ai déjà utilisé le flux d'informations d'identification du propriétaire de la ressource OAuth pour l'autorisation.
Cependant, j'aimerais maintenant envisager d'utiliser openid connect à ce rythme, pour l'authentification et l'autorisation, et je me demandais si le flux d'informations d'identification du propriétaire de la ressource est pris en charge dans openid connect.
La solution
Oui, OpenID Connect prend en charge tous les types de subventions OAUTHAT 2.0, y compris les informations d'identification du mot de passe du propriétaire de ressources et les informations d'identification des clients.
Comme nous le savons, la subvention de code d'autorisation et la subvention implicite sont des flux typiques à 3 pattes, y compris l'interaction entre un client, un serveur d'autorisation et un utilisateur.Tandis que la subvention de capitaux de mot de passe du propriétaire de la ressource et la subvention des informations d'identification du client sont à 2 pattes, ce qui signifie que le client utilise des étendues pré-autorisées de sorte qu'aucune interaction avec l'utilisateur n'est nécessaire, en supprimant la nécessité d'effectuer l'une des jambes dans le flux typique.
Voici une référence: Configuration d'un fournisseur de connexion OpenID pour activer les demandes OAuth à 2 pattes
Autres conseils
La réponse est oui. Il n'est pas explicite dans la spécification, mais OpenID Connect prend en charge tous les flux Oauth 2.0 car il s'agit d'une extension de OAuth 2.0.
La spécification parle des flux qui impliquent le navigateur Redirection car ils sont plus courants, plus sécurisés et moins fragiles étant donné que les informations d'identification du propriétaire de ressources ne prend en charge que le nom d'utilisateur et le mot de passe et se situe uniquement dans la spécification OAuth 2 pour la compatibilité vers l'arrière.
Dans de vrais systèmes SSO, vous souhaitez abstraire de la méthode d'authentification de l'utilisateur à l'OP / IDP. Impliquant un navigateur est un moyen de le faire. Dans la ressource propriétaire Mot de passe de vérification des pouvoirs flux du client « voit » le nom d'utilisateur / mot de passe du propriétaire des ressources à la différence des autres flux, qui contrecarre le but principal d'un protocole fédéré SSO comme OpenID Connect où les mécanismes d'authentification et des informations d'identification doivent être indépendants du client / app. Pour cette raison, vous ne verrez pas beaucoup d'utilisation de Ropc dans OpenID Connect, avec une exception peut-être dans des cas d'utilisation intra-entreprise.
Mais votre kilométrage peut varier de WRT. Support dans des logiciels spécifiques et des bibliothèques de logiciels et de clients.
Oui.Je trouvais aussi parfois une réponse à la même question.Selon la spécification OpenId Connect, il est recommandé d'utiliser authorization code et implicit types d'octroi pour les requêtes OpenId Connect.Mais il n’est pas mentionné que d’autres types de subventions ne peuvent pas être utilisés.Par conséquent, vous pouvez utiliser n’importe quel autre type d’octroi pour la demande d’authentification OpenId Connect.Il y a du courrier du groupe openid connect, qui a été discuté à ce sujet.Veuillez le trouver sur ici.Si votre serveur d'autorisation OAuth2 le prend en charge, je suppose que vous pouvez l'utiliser.Comme je le sais, la plupart des serveurs d'autorisation le prennent en charge, à titre d'exemple ici
