gpt4 book ai didi

openid-connect - 为什么 OpenID Connect 规范只支持基于浏览器的授权类型?

转载 作者:行者123 更新时间:2023-12-02 01:03:13 25 4
gpt4 key购买 nike

我想在资源所有者凭据(密码)授权类型中获取具有访问 token 的用户属性。我想使用 OpenID Connect,但规范只讨论基于浏览器的授权。即授权码和隐式。

我想了解为什么规范不支持它。是因为安全风险吗?还是其他原因?

最佳答案

您的服务可以访问用户的登录标识符和密码的授权类型违背了 OpenID Connect 的目的,您应该能够验证和识别用户而无需用户信任(或意外提供)您他们的凭据。

此授权类型的一些安全问题在 RFC 6749 section 4.3 中表达.它明确指出(强调我的):

The authorization server should take special care whenenabling this grant type and only allow it when other flows are notviable.

相关:Does OpenID Connect support the Resource Owner Password Credentials grant?

关于openid-connect - 为什么 OpenID Connect 规范只支持基于浏览器的授权类型?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/25900044/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com