OIDC(OpenID Connect)是一种基于OAuth2.0的身份验证协议,实现了用户身份验证和资源访问授权。认证过程中,IdP(Identity Provider)确认用户身份,授权则涉及用户对第三方(ServiceProvider)访问资源的许可。用户认证后,IdP签发Token,允许‘一次认证,到处访问’的单点登录。OIDC提供了四种模式:授权码模式、隐式模式、密码模式和客户端证书模式,适应不同安全需求。
01
身份验证的本质
OIDC 全称是 OpenID Connect,是一个基于 OAuth 2.0 的认证 + 授权(OAuth 2.0 提供的能力)协议。
《身份云动态 | 认证和授权,都离不开的 OIDC 协议》一文中提到,OIDC 诞生的场景是 —— 被授权的主体不再是用户,而是「想要访问用户资源的第三者」,而颁发权限的主体也不再是管理员,而是用户自己。
OIDC 诞生的场景则是 —— 被授权的主体不再是用户,而是「想要访问用户资源的第三者」,而颁发权限的主体也不再是管理员,而是用户自己。
因此,想要了解 OIDC 协议,首先要厘清「认证」和「授权」的概念。
认证
认证是决定一个主体(之后统称「用户」)究竟是谁的过程,换句话来说,是将「当前意图访问资源的用户」和「提前存储好的身份信息」对应起来的过程。显然,这个操作需要由身份信息的持有者来完成,我们称其为「IdP(Identity Provider)」,它存储的身份信息列表称为「用户目录」或「用户池」。
所谓的「身份信息」可以是任意格式,包含但不限于以下两种内容:用户的唯一标识符(可以是唯一的用户名、随机字符串、UUID 等),以及只有该用户才能提供,用来确认该用户身份的私密信息(密码、指纹等)。前者可以是公开的,但后者必须是私密的,只有 IdP 和用户自身才能持有。
为了完成认证,用户必须首先「宣称」自己是谁,并且这个宣称需要以某种形式和用户目录中的唯一一条记录产生关联。显然,最简单的办法就是直接向 IdP 宣布自己的唯一标识符。之后,用户需要通过某种保密的途径悄悄告诉 IdP 自己的私密信息,IdP 确认无误后,就可
最低0.47元/天 解锁文章
扫一扫
964
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
