OpenID Connect supporta la concessione delle credenziali della password del proprietario delle risorse?
https://stackoverflow.com//questions/24047047
-
21-12-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Ho usato il flusso delle credenziali del proprietario delle risorse OAuth precedentemente per l'autorizzazione.
Comunque vorrei prendere in considerazione l'utilizzo di OpenID Connect in ritmo di questo, per l'autenticazione e l'autorizzazione, e si stava chiedendo se il flusso delle credenziali del proprietario delle risorse è supportato in OpenID Connect.
Soluzione
Sì, OpenID Connect supporta tutti i tipi di sovvenzione OAuth 2.0 tra cui le credenziali della password del proprietario delle risorse Le credenziali delle credenziali e delle credenziali del client sono concessi.
Come sappiamo, la concessione del codice di autorizzazione e la sovvenzione implicita sono flussi tipici a 3 gambe, inclusa l'interazione tra un client, un server di autorizzazione e un utente.Mentre la concessione delle credenziali della password del proprietario delle risorse e la sovvenzione delle credenziali del client sono a 2 gambe, il che significa che il client utilizza gli ambiti pre-autorizzati in modo che non sia necessaria alcuna interazione con l'utente, rimuovendo la necessità di eseguire una delle gambe nel flusso tipico.
.Ecco un riferimento: Configurazione di un fornitore OpenID Connect per abilitare richieste OAuth a 2 gambe
Altri suggerimenti
La risposta è sì. Non è esplicito nella specifica ma OpenID Connect supporta tutti i flussi OAuth 2.0 poiché è un'estensione di OAuth 2.0.
I colloqui di specifiche sui flussi che coinvolgono il reindirizzamento del browser poiché sono più comuni, più sicuri e meno fragili, dato che le credenziali del proprietario delle risorse supportano solo nome utente e password ed è solo nella specifica di OAuth 2 per la compatibilità.
In veri Sistemi SSO vorresti astrarre dal metodo di autenticazione dell'utente all'OP / IDP. Coinvolgere un browser è un modo per farlo. Nelle credenziali della password del proprietario della risorsa flusso del client "vede" il nome utente / password del proprietario della risorsa diverso dagli altri flussi, che sconfiggono lo scopo primario di un protocollo SSO federato come il protocollo SSSO federato come collegamento OpenID in cui i meccanismi di autenticazione e le credenziali dovrebbero essere indipendenti dal client / app. Per questo motivo non vedrai molto l'uso di ROPC in OpenID Connect, con un'eccezione forse in casi di utilizzo intra-enterprise.
Ma il tuo chilometraggio può variare Wrt. Supporto in specifiche librerie di software op / as e client.
Sì.Ho anche trovato la risposta per la stessa domanda a volte indietro.Secondo la specifica OpenID Connect, si consiglia di utilizzare i tipi di concessione authorization code e implicit per richieste OpenID Connect.Ma non è menzionato che altri tipi di sovvenzione non possono essere utilizzati.Pertanto è possibile utilizzare altri tipi di sovvenzione per la richiesta di autenticazione OpenID Connect.C'è qualche posta dal gruppo OpenID Connect, che è stato discusso su questo.Si prega di trovarlo da qui .Se il tuo server di autorizzazione OAUTH2 lo supporta, immagino che vada bene usarlo.Come so, la maggior parte dei server di autorizzazione lo supporta, come esempio da qui
