openid - OpenID 和 SAML 有什么区别？

Question

OpenID 和 SAML 有什么区别？

Answer 1

原始 OpenID 2.0 与 SAML

它们是两种不同的身份验证协议(protocol)，它们在技术层面上有所不同。

从远处看，当用户发起身份验证时，差异就开始了。对于 OpenID，用户登录通常是负责认证的资源的 HTTP 地址。另一方面，SAML 基于您的站点和身份提供者之间的明确信任，因此接受来自未知站点的凭据的情况并不常见。

OpenID 身份很容易在网络上传播。作为开发人员，您可以只接受来自非常不同的 OpenID 提供商的用户。另一方面，SAML 提供者通常必须提前编码，并且您仅将应用程序与选定的身份提供者联合。可以缩小接受的 OpenID 身份提供者的列表，但我认为这与一般的 OpenID 概念背道而驰。

使用 OpenID，您可以接受来自任意服务器的身份。有人自称 http://someopenid.provider.com/john.smith .您将如何将其与数据库中的用户进行匹配？以某种方式，例如通过使用新帐户存储此信息并在用户再次访问您的网站时识别此信息。请注意，不能信任有关用户的任何其他信息(包括他的姓名或电子邮件)!

另一方面，如果您的应用程序和 SAML Id 提供者之间存在明确的信任关系，您可以获得有关用户的完整信息，包括姓名和电子邮件，并且这些信息是可以信任的，仅仅因为存在信任关系。这意味着您倾向于相信 Id Provider 以某种方式验证了所有信息，并且您可以在应用程序级别信任它。如果用户携带由未知提供商颁发的 SAML token ，您的应用程序只会拒绝身份验证。

OpenID Connect 与 SAML

(部分添加 07-2017，扩展 08-2018)

这个答案的日期是 2011 年，当时 OpenID 代表 OpenID 2.0 .后来，在 2012 年的某个时候，OAuth2.0 已于 2014 年出版，OpenID Connect (更详细的时间线 here)。

致如今阅读本文的任何人 - OpenID Connect 与原始答案所指的 OpenID 不同 ，而是 OAuth2.0 的一组扩展。

虽然 this answer可以从概念的角度阐明一些观点，对于具有 OAuth2.0 背景的人来说，一个非常简洁的版本是 OpenID Connect 是 实际上 OAuth2.0 但它增加了 querying the user info 的标准方式，在访问 token 可用之后。

引用原始问题 - OpenID Connect (OAuth2.0) 和 SAML 之间的主要区别是如何在应用程序和身份提供者之间建立信任关系:

SAML 在数字签名上建立信任关系，身份提供者颁发的 SAML token 是签名的 XML，应用程序验证签名本身及其提供的证书。用户信息包含在 SAML token 中，以及其他信息。

OAuth2 在从应用程序到身份的直接 HTTPs 调用上建立信任关系。请求包含访问 token (由应用程序在协议(protocol)流期间获得)，响应包含有关用户的信息。

OpenID Connect 进一步扩展了这一点，使获取身份 成为可能。没有 这个额外的步骤涉及从应用程序到身份提供者的调用。这个想法是基于 OpenID Connect 提供商实际上发布 的事实。两个 token ，access_token ，同样的 OAuth2.0 问题和新的问题，id_token这是一个 智威汤逊 token ，签名 由身份提供者提供。该应用程序可以使用 id_token建立本地 session ，基于 JWT token 中包含的声明，但 id_token 不能使用 进一步查询其他服务，此类对第三方服务的调用仍应使用access_token .您可以将 OpenID Connect 视为 SAML2(签名 token )和 OAuth2(访问 token )之间的混合体，因为 OpenID Connect 只涉及两者。