Hat OpenID Connect-Unterstützung der Resource Owner Password Credentials grant?
Ich habe mit OAuth-Ressource Besitzer credential flow, die zuvor für die Autorisierung.
Allerdings würde ich jetzt gerne zu prüfen, mit openid connect in Tempo dieses, für die Authentifizierung und Autorisierung, und Frage mich, ob Besitzer der Ressource credential flow unterstützt openid connect.
Schreibe einen Kommentar
Du musst angemeldet sein, um einen Kommentar abzugeben.
Ja, OpenID Connect unterstützt alle OAuth 2.0 grant-Typen, einschließlich Resource Owner Password Credentials Grant und Client-Anmeldeinformationen Gewähren.
Wie wir wissen, Authorization Code Grant und Implizite Gewährung sind typische 3-legged-flows einschließlich der Interaktion zwischen einem client, einem Autorisierungs-server und einen Benutzer. Während der Resource Owner Password Credential Gewähren und die Client-Berechtigung Gewähren, sind die 2-beinigen, das heißt, der client nutzt pre-autorisierten Bereiche, so dass keine Interaktion mit dem Benutzer notwendig ist, entfernen die Notwendigkeit der Durchführung eines der Beine in der typischen flow.
Hier ist eine Referenz: Konfigurieren eines OpenID Connect-Anbieters zu aktivieren 2-legged OAuth Anfragen
Ist die Antwort JA. Es ist nicht ausdrücklich in der Beschreibung, aber OpenID Connect unterstützt alle OAuth 2.0-fließt, da es eine Erweiterung von OAuth 2.0.
Die spec spricht über die Ströme, die Einbeziehung der browser redirect, wie Sie sind häufiger, sicherer und weniger spröde gegeben, dass der Ressource owner-Anmeldeinformationen unterstützt nur den Benutzernamen und Passwort und ist nur in den OAuth 2 spec für rückwärts Kompatibilität.
In true SSO-Systeme, die Sie wollen, um zu abstrahieren von der Methode der Authentifizierung des Benutzers bei der OP/IDP. Mit einem browser ist eine Möglichkeit, das zu tun. In der Resource Owner Password Credentials flow der client "sieht" den Benutzernamen/Passwort der Besitzer der Ressource im Gegensatz zu den anderen Strömungen, die Niederlagen der primäre Zweck einer federated SSO-Protokoll wie OpenID Connect, wo die Authentifizierungsmechanismen und die Anmeldeinformationen werden sollte, unabhängig von der client/app. Aus diesem Grund können Sie nicht sehen, viel Einsatz von ROPC im OpenID Connect, mit Ausnahme vielleicht in der intra-enterprise use cases.
Aber kann Ihre Laufleistung variieren wrt. Unterstützung in speziellen OP - /software-und client-Bibliotheken.
Ja. Auch ich musste feststellen, dass die Antwort zur gleichen Frage manchmal auch zurück. Nach den OpenId Connect-Spezifikationen Es wird empfohlen zur Verwendung
authorization codeundimplicitgrant-Typen für OpenId Connect-Anfragen. Aber es wird nicht erwähnt, dass andere grant-Typen können nicht verwendet werden. Daher können Sie verwenden alle anderen grant-Typen für OpenId Connect-Authentifizierung verlangen. Es gibt einige E-mail von der openid connect-Gruppe, die diskutiert wurde, auf diesem. Finden Sie es aus hier. Wenn Ihr OAuth2 Genehmigung server unterstützt es, denke ich, dass es in Ordnung ist, es zu benutzen. Ich weiß, die meisten von der Autorisierungs-Server, die es unterstützen, wie ein Beispiel aus hier