Ho letto un certo numero di diversi write-up su questo ora, ma non sono ancora chiaro sul valore primario che OpenID Connect fornisce oltre OAuth 2.0.Cosa OpenID Connect aggiunge a OAuth 2.0 (perché OAuth 2.0 non è sufficiente per l'autenticazione?)
Con consenso:
Quando si riceve un token di accesso tramite il flusso OAuth 2.0, il client viene a sapere che l'utente è stato autenticato dal server di autorizzazione. Sembra che OpenID Connect stia semplicemente aggiungendo un token ID con le informazioni dell'utente, ma tali informazioni potrebbero essere parte del token di accesso o disponibili attraverso una risorsa protetta (come una risorsa userDetails separata). Ciò non sembra giustificare la creazione di OpenID Connect, quindi sono sicuro che mi manca qualcosa ...
Grazie per il vostro aiuto!
Aggiunta di ulteriori dettagli troppo lunghi per un commento. Grazie mille per il tuo aiuto finora.
Penso che mi sto avvicinando, grazie alle vostre risposte. Quindi ho rivisto questo articolo: http://oauth.net/articles/authentication/. Dice che "OAuth non dice assolutamente nulla sull'utente". Tuttavia, ti stai fidando dello stesso servizio per autenticare l'utente finale prima di rilasciare un token di accesso. Nella sezione "errori comuni", l'articolo spiega perché non è possibile utilizzare il token di accesso per l'autenticazione. Ho i seguenti problemi con questo nella mia comprensione:
Token di accesso come prova di autenticazione Il token di accesso è stata la prova di autenticazione qualche precedente punto. Se il cliente desidera autenticare l'utente a un certo punto dopo aver ottenuto un token di accesso, perché non solo ripetere il flusso Oauth esistente con l'utente finale che sta tentando di accedere al client?
Accesso a una risorsa protetta come prova Come sopra: se il client richiede l'autenticazione in qualsiasi punto, ripetere il flusso Oauth.
iniezione di token di accesso Non è chiaro come OpenID aiuta questo
La mancanza di restrizione pubblico Perché è più difficile a portata di mano un client ingenuo di un documento di identità valido del token insieme con il token di accesso? Questo è rilevante per il flusso lato server? E ancora, puoi ripetere il flusso di OAuth se necessario.
Iniezione di informazioni utente non valide Questo sembra richiedere una firma, non un token separato. Se il flusso OAuth ha luogo su HTTPS, aggiunge qualche sicurezza al provider di identità per firmare due volte i dettagli dell'utente?
protocolli diversi per ogni potenziale provider di identità Questo sembra giusto, ma sembra ancora strano se l'unico scopo sarebbe la standardizzazione del token utilizzato per le informazioni dell'utente.
Grazie per aver riferito che - l'avevo trovato e riletto ora, ma non sono abbastanza chiaro sulle spiegazioni degli articoli - ho esteso le mie domande sopra. – allstar