security - oauth 2.0 有什么问题以及 open id connect 如何修复它?
问题描述
我阅读了Dominick Baier 的文章以及他在文章中所说的 Oauth 2.0 存在问题,并且 Open Id connect 修复了它。
因为,我是 Oauth 和 Opend Id 的新手,不确定 Oauth 有什么问题以及 Open Id 如何解决它?
任何人都可以解释一下吗?
解决方案
一个很好的阅读是在这里https://oauth.net/articles/authentication/:
OAuth 2.0 规范定义了一个委托协议,该协议对于在支持 Web 的应用程序和 API 的网络中传递授权决策很有用。OAuth 用于各种应用程序,包括提供用户身份验证机制。这导致许多开发人员和 API 提供者错误地认为 OAuth 本身就是一种身份验证协议,并错误地使用它。让我们再说一遍,要清楚:
OAuth 2.0 不是身份验证协议。
大部分混淆来自于 OAuth 是在身份验证协议内部使用的事实,开发人员将看到 OAuth 组件并与 OAuth 流程进行交互,并假设只需使用 OAuth,他们就可以完成用户身份验证。事实证明,这不仅不真实,而且对服务提供商、开发人员和最终用户也很危险。
本文旨在帮助潜在的身份提供者解决如何使用 OAuth 2.0 作为基础构建身份验证和身份 API 的问题。本质上,如果您说“我有 OAuth 2.0,我需要身份验证和身份”,请继续阅读。
推荐阅读
- bash - 如何使用参数制作 Bash 函数?
- c - 如何将格式化输出(如 printf)写入字符串?
- r - R中的子集S4矩阵
- python - 如何将 True 或 False 打印为“通过”或“失败”?
- c# - 隐藏后如何显示原始表单以弹出另一个表单?
- ruby-on-rails - 我可以在 Ruby On Rails 应用程序中运行两个上传器吗
- sql - 我想将每一行的值与表中的前一行进行比较,如果金额 > 上一个金额,那么我想打印日期
- c# - 如何在 DB2 中包含当天直到午夜的所有数据
- c++ - 如何使用 PCL 提取点附近的集群?
- android - 如何使用 Android Studio 分析器来分析应用程序的关闭?