注册
登录
区块链扩展技术
OAuth授权与身份验证
返回
OAuth授权与身份验证
作者:
甲基蓝
发布时间:
2024-12-30 05:01:49 (2月前)
转自:
<div class =“excerpt”> OAuth术语一直困扰着我很长一段时间。是OAuth <span class =“result-highlight”> 授权 </跨度> 有些人会建议还是认证? 如果我错了,请纠正我,但我一直都读 <span class =“result-highlight”> 授权 </跨度> 因为是的 <span class =“result-highlight”> 授权 </跨度> NOR认证,因为这些必须由其他进程执行。那到底是什么?这是一个传递令牌的过程吗?是不是真的没有特别的意义 </DIV>
收藏
举报
2 条回复
0#
回复此人
誓言
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <H2> OAuth是授权规范 </H2> <P> OAuth 2.0是授权规范,但不用于身份验证。 RFC 6749, <a href="https://tools.ietf.org/html/rfc6749#section-3.1" rel="noreferrer"> 3.1。授权端点 </A> 明确说明如下: </p> <BLOCKQUOTE> <P> 授权端点用于与资源所有者交互 并获得授权许可。授权服务器必须首先 验证资源所有者的身份。的方式 授权服务器验证资源所有者(例如,用户名) 和密码登录,会话cookie)是 的<strong> 超出了这个范围 规格 </强> 。 </p> </BLOCKQUOTE> <P> <BR/> </p> <H2> OAuth身份验证? </H2> <P> 身份验证处理有关“谁是谁”的信息。授权处理有关“谁授予谁的权限”的信息。授权流程包含身份验证作为其第一步。这是人们常常感到困惑的原因。 </p> <P> 有许多库和服务使用OAuth 2.0进行身份验证。它通常被称为“社交登录”,它让人们更加困惑。如果您看到“OAuth身份验证”(而非“OAuth授权”),则它是使用OAuth进行身份验证的解决方案。 </p> <P> <BR/> </p> <H2> OpenID Connect </H2> <P> OpenID 1.0和OpenID 2.0是旧的身份验证规范。制定规范的人希望人们使用OpenID进行身份验证。但是,有些人开始使用OAuth 2.0进行身份验证(而非授权),OAuth身份验证已迅速普及。 </p> <P> 从OpenID的角度来看,基于OAuth的身份验证不够安全,但他们不得不承认人们更喜欢OAuth身份验证。结果,OpenID的人决定定义一个新的规范, 的<strong> <a href="http://openid.net/connect/" rel="noreferrer"> OpenID Connect </A> </强> ,在OAuth 2.0之上。 </p> <P> 是的,这让人们更加困惑。 </p> <P> <BR/> </p> <H2> OAuth 2.0和OpenID Connect的一句话定义 </H2> <P> 的<strong> <a href="https://tools.ietf.org/html/rfc6749" rel="noreferrer"> OAuth 2.0 </A> </强> 是一种框架,其中服务的用户可以允许第三方应用程序访问他/她在服务中托管的数据,而不向应用程序透露他/她的凭证(ID和密码)。 </p> <P> <a href="https://i.stack.imgur.com/zI0Gp.png" rel="noreferrer"> <img src =“https://i.stack.imgur.com/zI0Gp.png”alt =“在此处输入图片说明”/> </A> </p> <P> 的<strong> <a href="http://openid.net/connect/" rel="noreferrer"> OpenID Connect </A> </强> 是OAuth 2.0之上的框架,其中第三方应用程序可以获取由服务管理的用户身份信息。 </p> <P> <a href="https://i.stack.imgur.com/89Wmh.png" rel="noreferrer"> <img src =“https://i.stack.imgur.com/89Wmh.png”alt =“在此处输入图片说明”/> </A> </p> <P> <SUP> (对不起,这些定义是摘录自 <a href="https://www.authlete.com/documents/overview" rel="noreferrer"> 概观 </A> 我公司的页面) </SUP> </p> <P> <BR/> </p> <H2> 从实现者的角度定义 </H2> <P> 的<strong> 认证 </强> 是确定最终用户的主题(=唯一标识符)的过程。有很多方法可以确定主题。 ID&amp;密码,指纹,虹膜识别等 </p> <P> 的<strong> 授权 </强> 是将主题与请求的权限以及请求权限的客户端应用程序相关联的过程。访问令牌表示关联。 </p> <P> <BR/> </p> <H2> 也可以看看 </H2> <OL> <LI> 的<strong> <a href="https://medium.com/@darutk/full-scratch-implementor-of-oauth-and-openid-connect-talks-about-findings-55015f36d1c3" rel="noreferrer"> OAuth和OpenID Connect的全面实施者谈论调查结果 </A> </强> </LI> <LI> 的<strong> <a href="https://medium.com/@darutk/diagrams-and-movies-of-all-the-oauth-2-0-flows-194f3c3ade85" rel="noreferrer"> 所有OAuth 2.0流程的图表和电影 </A> </强> </LI> <LI> 的<strong> <a href =“https:// medium.com / @darutk / diagram-of-all-the-openid-connect-flows-6968e3990660“rel =”noreferrer“> 所有OpenID Connect流程的图表 </A> </强> </LI> <LI> 的<strong> <a href="https://medium.com/@darutk/the-simplest-guide-to-oauth-2-0-8c71bd9a15bb" rel="noreferrer"> 最简单的OAuth 2.0指南 </A> </强> </LI> </醇> </DIV>
编辑
登录
后才能参与评论
