17、实现 OpenID Connect 和 OAuth2 进行身份验证与授权

实现 OpenID Connect 和 OAuth2 进行身份验证与授权

1. 背景与需求

在许多应用场景中，基于表单的身份验证和内部授权虽有一定作用，但“你知道的信息”这种身份验证方式在某些情况下并不理想，甚至无法满足所需的安全级别。具体场景如下：
- 免费服务 ：一些免费服务需要身份验证，但出于法律或其他原因，不需要了解用户的具体信息。
- 单因素认证不足 ：单因素认证被认为不够安全，需要多因素认证（MFA）支持。
- 安全基础设施管理 ：担心创建和维护用于管理密码、角色/权限等必要机制的安全软件基础设施。
- 责任担忧 ：担心在发生安全漏洞时承担责任。

为了解决这些问题，一些公司构建并维护了强大且安全的身份验证和授权基础设施，并以低成本或免费的方式提供使用，如 Okta、Facebook、GitHub 和 Google 等。Spring Security 通过 OpenID Connect 和 OAuth2 支持这些选项。

2. OpenID Connect 和 OAuth2 简介

• OAuth2 ：用于为第三方提供用户对指定资源（如基于云的服务、共享存储和应用程序）的授权。
• OpenID Connect ：基于 OAuth2 构建，增加了一致、标准化的身份验证，使用以下一种或多种因素：
• 你知道的信息，例如密码。