Раньше я использовал поток учетных данных владельца ресурса OAuth для авторизации.
Однако теперь я хотел бы рассмотреть возможность использования openid connect в темпе этого, для аутентификации и авторизации, и мне было интересно, поддерживается ли поток учетных данных владельца ресурса в openid connect.
Да, OpenID Connect поддерживает все типы предоставления OAuth 2.0, включая предоставление учетных данных для пароля владельца ресурса и предоставление учетных данных клиента.
Как мы знаем, предоставление кода авторизации и неявное предоставление являются типичными трехсторонними потоками, включающими взаимодействие между клиентом, сервером авторизации и пользователем. В то время как предоставление учетных данных для пароля владельца ресурса и предоставление учетных данных клиента являются двухсторонними, что означает, что клиент использует предварительно авторизованные области, поэтому взаимодействие с пользователем не требуется, что устраняет необходимость выполнять один из этапов в типичном потоке.
Вот ссылка: Настройка поставщика OpenID Connect для включения двусторонних запросов OAuth
Ответ - ДА. В спецификации это не указано явно, но OpenID Connect поддерживает все потоки OAuth 2.0, поскольку это расширение OAuth 2.0.
В спецификации говорится о потоках, которые включают перенаправление браузера, поскольку они более распространены, более безопасны и менее хрупки, учитывая, что учетные данные владельца ресурса поддерживают только имя пользователя и пароль и находятся только в спецификации OAuth 2 для обратной совместимости.
В настоящих системах единого входа вы бы хотели абстрагироваться от метода аутентификации пользователя в OP / IDP. Один из способов добиться этого - привлечь браузер. В потоке учетных данных пароля владельца ресурса клиент «видит» имя пользователя / пароль владельца ресурса в отличие от других потоков, что противоречит основной цели федеративного протокола единого входа, такого как OpenID Connect, где механизмы аутентификации и учетные данные должны быть независимыми от клиента / приложение. По этой причине вы не увидите большого использования ROPC в OpenID Connect, за исключением, возможно, случаев использования внутри предприятия.
Но ваш пробег может отличаться. поддержка в специальном программном обеспечении OP / AS и клиентских библиотеках.
да. Я также иногда находил ответ на тот же вопрос. Согласно спецификации OpenId Connect, для запросов OpenId Connect рекомендуется использовать типы грантов authorization code и implicit. Но не упоминается, что другие типы грантов использовать нельзя. Поэтому вы можете использовать любые другие типы грантов для запроса аутентификации OpenId Connect. Есть письмо от группы openid connect, о котором уже говорилось. Его можно найти здесь . Если ваш сервер авторизации OAuth2 поддерживает это, я думаю, что его можно использовать. Насколько мне известно, большинство серверов авторизации поддерживают его, например, из здесь
