个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
在 OAuth2 协议(protocol)中,Client(OIDC 中的 RP)应用程序获得一个访问 token ,这使它能够代表不同的服务(Resource server 角色) 资源所有者。
另一方面,在 OpenID Connect 协议(protocol)中,Client 获得 2 个 token (访问 token 和身份 token )。现在此客户端可以使用访问 token 从 UserInfo 端点获取用户声明。
最佳答案
首先你必须了解代币的用途。访问 token 是足以代表最终用户访问 protected 资源的 token 。它由 OAuth 2.0 授权框架定义。现在拥有访问 token 不会对最终用户进行身份验证。它只是授权客户端应用程序访问资源。 OpenID Connect 引入了 ID token 。现在此 token 将由您的客户端应用程序使用。 Protocol define how this to be done如果有效,您的客户端应用程序可以对最终用户进行身份验证。
问:OP(Authorization server)是否在这里扮演资源服务器的角色(就OAuth2而言),客户端代表用户获取用户数据?
部分正确。 According to the protocol document , userinfo endpoint 充当 OAuth 2.0 保护资源。
The UserInfo Endpoint is an OAuth 2.0 Protected Resource that returns Claims about the authenticated End-User. To obtain the requested Claims about the End-User, the Client makes a request to the UserInfo Endpoint using an Access Token obtained through OpenID Connect Authentication.
问:客户端如何使用ID token?客户端是否将此 ID token 传递给资源所有者的用户代理(浏览器),然后用户代理存储此 token 以启用 SSO(cookie)?
如前所述,客户端必须验证 id token ,并基于它可以对最终用户进行身份验证。 ID token 未与 SSO 连接。
问:客户端(例如,与获得 ID token 的客户端不同)是否必须在用户每次访问 token 时验证 token (调用 OP 进行验证),或者客户端仅在第一次获取 token 时执行此操作由这个 token 访问,然后创建安全上下文,使它能够在 OP 每次都消除这个验证请求?在这种情况下,如何实现此安全上下文?
如果您使用 ID token 从 protected 端点使用,则 token 接收方应在接受之前对其进行验证。可以选择在适当的 token 验证后创建 session ( session 不得延长 token 的生命周期)。
问:访问 token 除了用于获取用户声明外还有什么用?当客户端可以使用 ID token 访问 UserInfo endint 时,为什么它与访问 token 一起发送?
访问 token 是您应该用来访问 OAuth 2.0 保护资源的 token 。一旦端点收到它,端点就可以根据授权服务器 (Protocol definition of introspection) 公开的 token 内省(introspection)端点验证访问 token 。借助 Openid Connect,用户信息端点的定义让任何拥有有效 ID token 的一方都可以使用它。
关于oauth-2.0 - OIDC 中的 OAuth2 角色,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/51213548/
25
4
0
正在复制的问题是,当sew呈现登录页面时,然后我们继续执行身份验证,现在将我们重定向到网站的仪表板,此时我们继续关闭会话,并且在之前的交互中生成的这些cookie没有被删除。这个问题是重复性的,并且一
我遇到了与这篇文章中相同的错误。 flask-oidc-client-exchange-error 虽然我想要一个解决该问题的答案,但我认为主要问题是没有维护 flask-oidc 库,并且它使用已弃
我正在使用带有 angular 7 的 oidc-client,并且我想启用日志记录。该文档建议我可以执行以下操作 Oidc.Log.logger = console; 我无法完成这项工作,因为 Oi
我在安装 go 时遇到了 k8s-oidc-helper 包的问题。但是,当我用它运行任何命令时,它会给出命令未找到错误。我在 ubuntu 16.04 VM 上运行它。我该如何解决这个问题? 最佳答
我正在编写一个react+flux应用程序,并且我已经将IdentityServer设置为OpenID Connect提供程序。 IdentityServer 人员提供了两个库,使处理客户端变得更加容
当我在 docker compose 中使用 Quarkus 和 Keycloak 时,我遇到了一个非常令人困惑的问题。当我设置环境变量以覆盖开发配置又名 quarkus.oidc.auth-serv
前言 前面选用了IdentityServer4做为认证授权的基础框架,感兴趣的可以看上篇<微服务下认证授权框架的探讨>,已经初步完成了authorization-code与implici
我有一个使用 redux-oidc 对身份服务器进行身份验证的设置。我可以登录,并且可以看到 silenRenew 在 token 过期时按预期工作。 不过有一个问题。如果我打开我的网站并让计算机进入
我试图在一个简单的 flask 应用程序中使用 Flask-oidc,以便通过 keycloak 添加身份验证。 但是,一旦我使用有效凭据登录,它就会返回到不存在的/oidc_callback。 fl
我正在使用 oidc JS cilent 库 OIDC JS 我有连接到 的客户端代码WSO2 IDP 服务器使用 openID 连接端点。流程是 隐式 在 WSO2 服务器上配置 WSO2 版本:w
我正在使用 angular-oauth2-oidc 在我的 Angular (8) 应用程序上设置 B2C。 我有一个登录和退出策略,并且我已经成功地设置了 angular-oauth2-oidc 服
我的 React 容器如下所示: class App extends React.Component { componentDidMount() { if (this.prop
我有一个使用 AAD B2C 保护的 SPA。 SPA 与同样受 AAD B2C 保护的 API 进行对话。现在,用户可以将授权 header 从 Chrome 复制/粘贴到 Postman 等工具,
我正在运行 IdentityServer4 的 Javascript 客户端示例,配置如下所示: var config = { authority: "https://localhost:44
我已经为 OIDC 设置了一个注册应用程序,并将其配置为在 Azure AD 上用于各种用途。 我集成的应用程序使用 preferred_username在 ID token 中用于各种事物。 Azu
我一直在将 keycloak 配置为 Kubernetes 集群上 eclipse hono 的身份验证和授权服务提供程序(使用 Rancher)。 文档对此几乎没有提供任何帮助,并且关于此主题的每项
我已经为 OIDC 设置了一个注册应用程序,并将其配置为在 Azure AD 上用于各种用途。 我集成的应用程序使用 preferred_username在 ID token 中用于各种事物。 Azu
我有一个 asp.net 核心应用程序,上面运行着一个 angular 2。我正在使用 oidc-client.js 库来处理登录。目前,如果用户已经登录并点击站点链接,则身份验证会正确进行,用户会被
无法使用 go 安装包。我想安装 k8s-oidc-helper 包。根据安装指南,我必须安装并运行 k8s-oidc-helper 命令。但是当我尝试它时,它说找不到命令 k8s-oidc-help
我的理解是 - oidc-client 生成随机数和状态并将其发送到授权服务器(身份服务器 4)。用于防止CSRF攻击、重放攻击。 State 和 nonce 通过下面的 signinredirect
我是一名优秀的程序员,十分优秀!