OpenIDConnect是基于OAuth2.0规范族的可互操作的身份验证协议。它使用简单的REST/JSON消息流来实现,和之前任何一种身份认证协议相比,开发者可以轻松集成。OpenIDConnect允许开发者验证跨网站和应用的用户,而无需拥有和管理密码文件。OpenIDConnect允许所有类型的客户,包括基于浏览器的JavaScript和本机移动应用程序,启动登录流动和接收可验证断言对登录用户的身份。
OpenIDConnect是OpenID的第三代技术。首先是原始的OpenID,它不是商业应用,但让行业领导者思考什么是可能的。OpenID2.0设计更为完善,提供良好的安全性保证。然而,其自身存在一些设计上的局限性,最致命的是其中依赖方必须是网页,但不能是本机应用程序;此外它还要依赖XML,这些都会导致一些应用问题。OpenIDConnect的目标是让更多的开发者使用,并扩大其使用范围。幸运的是,这个目标并不遥远,现在有很好的商业和开源库来帮助实现身份验证机制。
简要而言,OIDC是一种安全机制,用于应用连接到身份认证服务器(IdentityService)获取用户信息,并将这些信息以安全可靠的方法返回给应用。在最初,因为OpenID1/2经常和OAuth协议(一种授权协议)一起提及,所以二者经常被搞混。OpenID是Authentication,即认证,对用户的身份进行认证,判断其身份是否有效,也就是让网站知道“你是你所声称的那个用户”;OAuth是Authorization,即授权,在已知用户身份合法的情况下,经用户授权来允许某些操作,也就是让网站知道“你能被允许做哪些事情”。由此可知,授权要在认证之后进行,只有确定用户身份只有才能授权。(身份验证)+OAuth2.0=OpenIDConnectOpenIDConnect是“认证”和“授权”的结合,因为其基于OAuth协议,所以OpenID-Connect协议中也包含了client_id、client_secret还有redirect_uri等字段标识。这些信息被保存在“身份认证服务器”,以确保特定的客户端收到的信息只来自于合法的应用平台。这样做是目的是为了防止client_id泄露而造成的恶意网站发起的OIDC流程。在OAuth中,这些授权被称为scope。OpenID-Connect也有自己特殊的scope--openid,它必须在第一次请求“身份鉴别服务器”(IdentityProvider,简称IDP)时发送过去。调整server
access_token用于授权id_token(通常为JWT)用于认证。首先,需要使用id_token登录然后,你会得到一个access_token最后,使用access_token来访问授权相关接口。