OpenID Connect:OAuth 2.0协议之上的简单身份层

最新推荐文章于 2025-08-03 15:40:01 发布
最新推荐文章于 2025-08-03 15:40:01 发布
阅读量562 收藏
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/sD7O95O/article/details/78096041
OpenID Connect是建立在OAuth 2.0之上的身份验证协议,提供简单的方式进行API身份交互。它支持多种客户端类型,并允许客户端通过授权服务器验证用户身份和获取基本信息。OpenID Connect与OpenID 2.0不同,它本身是API友好的,内置了签名和加密机制。该协议包括核心功能、发现、动态注册等可选部分,并定义了ID Token的JWT格式以及JWS和JWE加密。其工作流程涉及认证请求、身份验证、ID Token和Access Token的交换。ID Token包含了用户认证的关键信息,使用JWS确保数据安全。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  • OpenID Connect是什么?OpenID Connect(目前版本是1.0)是OAuth 2.0协议(可参考本人此篇:OAuth 2.0 / RCF6749 协议解读)之上的简单身份层,用 API 进行身份交互的框架,允许客户端根据授权服务器的认证结果最终确认用户的身份,以及获取基本的用户信息;它支持包括Web、移动、JavaScript在内的所有客户端类型;它是可扩展的协议,允许你使用某些可选功能,如身份数据加密、OpenID提供商发现、会话管理

  • OpenID Connect vs OpenID 2.0:OpenID Connect完成很多与OpenID 2.0相同的任务,是API-friendly,定义了可选的签名和加密的机制;OAuth 1.0a和OpenID 2.0的集成需要扩展,而OpenID Connect协议本身就建立在OAuth 2.0之上

  • 部分名词解释

    1. Relying Party(RP):依赖方,通常是第三方应用程序(客户端)
    2. OpenID Provider(OP):OpenID 提供方,通常是一个 OpenID 认证服务器,它能为依赖方提供断言以证实用户拥有某个标识
    3. End-User(EU):终端用户,指持有账号的人

  • OpenID Connect协议构成

    下边两条是 Web RPs 实现者的独立参考指南:

    协议迁移规范:

    OpenID Connect 工作组已启动新的工作计划:

    1. OpenID Connect Profile for SCIM Services – (Optional) Defines how to use SCIM with OpenID Connect

    2. OpenID Connect Federation – (Optional) Defines how sets of OPs and RPs can establish trust by utilizing a Federation Operator

    1. OpenID 2.0 to OpenID Connect Migration 1.0 – Defines how to migrate from OpenID 2.0 to OpenID Connect

    1. Basic Client Implementer’s Guide – Simple subset of the Core functionality for a web-based Relying Party using the OAuth code flow

    2. Implicit Client Implementer’s Guide – Simple subset of the Core functionality for a web-based Relying Party using the OAuth implicit flow

    1. Core – 定义 OpenID Connect 核心功能: 认证建立在OAuth 2.0之上,使用声明与终端用户进行信息交互

    2. Discovery – (Optional) Defines how Clients dynamically discover information about OpenID Providers

    3. Dynamic Registration – (Optional) Defines how clients dynamically register with OpenID Providers

    4. OAuth 2.0 Multiple Response Types – 定义了几种新的OAuth 2.0响应类型

    5. OAuth 2.0 Form Post Response Mode – (Optional) Defines how to return OAuth 2.0 Authorization Response parameters (including OpenID Connect Authentication Response parameters) using HTML form values that are auto-submitted by the User Agent using HTTP POST

    6. Session Management – (Optional) Defines how to manage OpenID Connect sessions, including postMessage-based logout functionality

    7. Front-Channel Logout – (Optional) Defines a front-channel logout mechanism that does not use an OP iframe on RP pages

    8. Back-Channel Logout – (Optional) Defines a logout mechanism that uses direct back-channel communication between the OP and RPs being logged out

  • OpenID Connect的工作流程:下以EU获取UserInfo为例来说明,

    1. RP(客户端)发送一个认证请求给OP;
2. OP对EU进行身份认证并获得授权;
3. OP发送ID Token给RP,通常也同时发送Access Token(为兼容OAuth 2.0。ID Token其实可以取代Access Token用来完成授权);
4. RP使用Access Token发送一个请求UserInfo EndPoint;
5. UserInfo EndPoint返回EU的Claims。

    下边是关于“ID Token 与 Access Token”的描述来自 User Authentication with OAuth 2.0 [UserInfo Endpoint]:

最低0.47元/天 解锁文章

200万优质内容无限畅学
OAuth2.0OpenID Connect 权威实战指南
s13596191285的博客
05-23 111
## Abstract 本指南旨在深入剖析 OAuth 2.0OpenID Connect(OIDC)的核心原理与实现细节,涵盖经典与创新代码示例,结合多学科视角与案例分析,以学术化的写作风格呈现一份权威实战指南。文章包括协议架构、流程详解、加密机制、隐私合规、性能测试与结果分析,以及对未来趋势与挑战的前瞻性探讨,旨在帮助开发者、架构师和安全专家全面掌握并创新应用 OAuth 2.0OpenID Connect。 --- ## 1. 引言 OAuth 2.0 是一种授权框架,使第三方应用
开放平台实现安全的身份认证与授权原理与实战:使用OpenID ConnectOAuth 2.0实现安全单点登
AI天才研究院
11-08 348
作者:禅与计算机程序设计艺术 1.背景介绍 在互联网+时代,企业需要开放自己的业务数据、服务接口以及能力,通过开放平台将企业内部的应用、服务或数据进行整合,让外部的第三方用户也可以访问到这些资源。但是开放平台上运行的各种应用和服务往往面临安全问题。如何确保开放平台上的应用和服务具有高度的安全性是这个
openid_connect:OpenID Connect服务器和客户端库
05-13
OpenIDConnect OpenID Connect服务器和客户端库 安装 gem install openid_connect 资源 在GitHub上查看源代码( ) 在GitHub上报告问题( ) 订阅更新信息( ) 例子 提供者¶ ↑ 在Heroku上运行( connect-op.herokuapp.com ) 来源GitHub( github.com/nov/openid_connect_sample ) 简单版本( github.com/nov/openid_connect_sample2 ) 依赖方¶ ↑ 在Heroku上运行( connect-rp.herokuapp.com ) GitHub上的源代码( github.com/nov/openid_connect_sample_rp ) 以下还有使用此gem的OpenID Foudat
(精华)2020年9月25日 微服务 单点登录和身份认证(OpenID Connect)
热门推荐
时光隧道
09-06 45万+
if (!(Test-Path -Path $PROFILE)) { New-Item -ItemType File -Path $PROFILE -Force }
OpenID Connect 是什么?
weixin_33971130的博客
07-25 3218
一、OpenID Connect的概念 1、OpenID Connect 是什么? OpenID Connect 是一套基于 OAuth 2.0 协议的轻量级规范,提供通过 API 进行身份交互的框架。 OpenID Connect 使用简单的REST / JSON消息,开发者可以轻松集成。 OpenID Connect 允许所有类型的客户,包括基于浏览器的JavaScript和本机移动应用程序。...
OpenID Connect
gitblog_00073的博客
03-16 1014
OpenID Connect OpenID Connect是一个简单且开放的认证协议,它允许任何网站或应用程序通过HTTP/HTTPS与身份提供者进行安全的身份验证交互。这是一种基于OAuth 2.0协议的扩展,可以将身份验证过程简化为一个简单的步骤。 什么是OpenID ConnectOpenID Connect是一种用于实现Web应用、移动应用和API的安全身份验证的标准协议。该协议在OA...
OAuth 2.0的扩展和新动态】OpenID Connect简介:OAuth 2.0的认证扩展
[【OAuth 2.0的扩展和新动态】OpenID Connect简介:OAuth 2.0的认证扩展](https://www.univention.com/wp-content/uploads/2021/08/openid-connect-saml-sso.jpg) # 1. OAuth 2.0的认证协议概述 在信息安全领域,...
13、微服务安全:OpenID ConnectOAuth 2.0 与 JWT 实践
最新发布
pink的博客
08-03 5
本文探讨了微服务环境下的安全认证与授权实践,重点介绍了 OpenID ConnectOAuth 2.0 和 JWT 的原理及整合应用。通过使用这些技术,可以有效保护微服务免受未授权访问。文章还结合 Azure Active Directory,演示了如何在实际项目中配置和实现微服务的安全机制,并提供了详细的开发与部署步骤及注意事项,帮助开发者构建安全可靠的微服务系统。
Openid Connect(OIDC)
goddessblessme的博客
04-19 1357
它在OAuth2上构建了一个身份,是一个基于OAuth2协议身份认证标准协议。解决认证问题。OIDC在OAuth2的access_token的基础上增加了身份认证信息, 通过公钥私钥配合校验获取身份等其他信息—– 即idToken。
【权限管理】OpenID Connect(OIDC)
IT古董
01-08 990
OpenID Connect(OIDC) 是基于 OAuth 2.0 协议身份认证协议,它允许客户端应用程序验证用户的身份,并获取与用户相关的基本信息(如名称、邮箱等)。与 OAuth 2.0 主要关注授权不同,OpenID Connect 专注于提供用户身份验证功能。它是目前互联网上常见的身份认证协议,广泛用于第三方登录服务(如 微信、支付宝、抖音、Google、Facebook 等)以及企业级应用。
openid connect是什么
leijmdas的专栏
05-26 449
3. **用户信息端点(UserInfo Endpoint)**:OIDC定义了一个受保护的端点,客户端可以利用它通过访问令牌(Access Token)来获取关于已认证用户的更详细的信息。1. **基于OAuth 2.0**:OIDC是在OAuth 2.0协议之上构建的,它使用OAuth 2.0的授权流程,并通过扩展OAuth 2.0的概念来实现身份认证。4. **授权码或ID令牌**:一旦用户认证成功,并且授权客户端访问资源,OP将返回一个授权码或直接返回ID令牌和访问令牌。
什么是OpenID Connect
分享前端开发工程师的一些日常生活、前端知识点、职业发展、对一些问题的看法、感悟等等
07-07 833
区分认证和授权 上文我们所知,OAuth 解决了代理授权的问题,但是它没有提供一个认证用户身份的标准方法。你可以这样认为: OAuth2.0 用于授权 OpenID Connect 用于认证 如果你无法区分这些术语,则以下是它们之间的区别: 认证(Authentication)是确保通信实体是其所声称的实体。 授权(Authorization)是验证通信实体是否有权访问资源的过程。 换言之,认证关注的是你是谁,授权关注的是你有什么权限。 OpenID Connect OpenID Connect
OpenID Connect(OIDC)认证--keycloak与springboot项目的整合
m0_63144319的博客
08-19 2063
在现代应用程序中,安全性是至关重要的。为了简化认证和授权流程,许多开发人员选择使用 Keycloak 作为统一的身份和访问管理解决方案。Spring Boot 是一个流行的 Java 框架,通过与 Keycloak 整合,可以轻松实现 OAuth2 和 **OpenID Connect (OIDC)**的身份认证和授权功能。本篇博客将详细介绍如何在 Spring Boot 项目中集成 Keycloak,帮助你快速搭建一个安全的 Web 应用。Keycloak 是一个开源的身份和访问管理工具,支持标准协议
欢迎来到OpenID Connect
sunkooshining的专栏
03-11 5083
什么是OpenID Connect OpenID Connect1.0是一个位于OAuth2.0之上简单身份。其允许客户端通过授权服务器验证终端用户身份,通过互操作性和REST-like性获取终端客户的基本概要信息。 OpenID连接允许所有类型的客户,包括网络、手机、和JavaScript客户,请求和接收经过身份验证的会
OpenID Connect详解
zou8944的博客
12-26 1万+
OpenID Connect 1.0是建立在OAuth 2.0上的一个身份验证机制,它允许客户端通过授权服务对用户进行认证并获取简单的用户信息。 前置知识:读者需要了解OAuth2.0的授权码模式和隐藏模式两种工作流程,要了解JWT、JWE、JWS等概念。这在我的前两篇文章都有详细讲解 概览 名词解释 OP:OpenID Provider,即OAuth2.0中的授权服务,用于对用户鉴权 RP:Relying Part,依赖方,即OAuth2.0中的客户端,它从OP除获取对用户的鉴权和用户信息
SSO的通用标准OpenID Connect
程序那些事
12-15 1万+
OpenID Connect简称为OIDC,已成为Internet上单点登录和身份管理的通用标准。 它在OAuth2上构建了一个身份,是一个基于OAuth2协议身份认证标准协议OAuth2实际上只做了授权,而OpenID Connect在授权的基础上又加上了认证。 OIDC的优点是:简单的基于JSON的身份令牌(JWT),并且完全兼容OAuth2协议。 今天我们将会介绍一下OIDC的具体原理
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值