IdentityServer-Flows

IdentityServer unterstützt verschiedene OpenId Connect fließt, die definiert sind in der Flows enum-und set für Kunden. Es gibt auch Beispiele für jede Art von Strömung und viele Verweise auf Sie in der Dokumentation, aber ich konnte nicht finden eine einfache definition Liste von dem, was fließt, sind in der Dokumentationals wenn Sie zu offensichtlich in Worte zu fassen. Aber ich denke, Sie sind es nicht. Können Sie mir bitte sagen, mehr über die Unterschiede dieser, vielleicht können wir hinzufügen, dass die docs?

Also, was sind: implizite flow, resource owner password credential flow, Autorisierungs-code flow, client-Anmeldeinformationen flow, benutzerdefinierte gewähren fließen, und hybrid fließen? Auch welche OAuth-flows und welche OpenID Connect fließt?

Dank!

InformationsquelleAutor der Frage orad | 2015-04-16

  1. 36

    Stand ich vor der gleichen Frage, die derzeit die Arbeit noch im Gange. wenn ich zum Schluss der Dokumentation, könnte ich es hier posten. Zeit: bitte prüfen Sie den Entwurf:

    Bereichern IdentityServer Dokumentation mit OIDC und OAuth2 Fließt Abschnitt #73

    Update: OIDC und OAuth2 Fließt

    InformationsquelleAutor der Antwort Jawad Al Shaikh

  2. 18

    Von leastPrivilage ersten link: und Aharon Paretzki ' s OAuth 2 Vereinfachte

    Fließt zu entscheiden, wie die ID-token (d.h. der authorization code) und die Access token (d.h. 'token') werden an den client zurückgegeben:

    Authorization Code Flow: OAuth 2.0-Fluss, in denen

    • einen Autorisierungs-Code wird zurückgegeben, aus der Autorisierungs-Endpunkt
    • und alle Token (als zweite Bühne, im Austausch für die Autorisierungs-code) zurück, den Token-Endpunkt
    • Verwendet für server-based calls (APIs), können Sie die Vertraulichkeit Ihrer client-Geheimnis. Ermöglicht mehr Sicherheit, solange niemand Zugriff auf die "client secret".

    Implizite Flow: OAuth 2.0-Fluss, in denen

    • alle Token zurückgegeben direkt vom Authorization-Endpunkt
    • und weder das Token-Endpunkt noch einen Authorisierungs-Code verwendet werden.
    • Für die mobilen und web-basierten apps, nicht die Vertraulichkeit der client-Geheimnis, so es notwendig ist, um das token ausgestellt von der auth-server selbst. Dies ist weniger sicher, und es wird empfohlen, dass der server sollte festgelegt werden, zu verweigern implizite flow fordert für die API-Nutzung, und lassen Sie es nur für die browser-basierte und mobile apps.

    Hybrid-Flow -: OAuth 2.0-Fluss, in denen

    • einen Autorisierungs-Code wird zurückgegeben, aus der Autorisierungs-Endpunkt,
    • einige tokens zurückgegeben werden, direkt aus der Autorisierungs-Endpunkt, und die anderen sind auch wieder (in einer zweiten Stufe, im Austausch für die Autorisierungs-code) von den Token-Endpunkt.
    • Verwendet, wo beide Ströme benötigt werden.

    InformationsquelleAutor der Antwort pashute

  3. 8

    sehen die Spezifikationen - es wurde alles aufgeschrieben schon:

    http://openid.net/specs/openid-connect-core-1_0.html
    und
    http://tools.ietf.org/html/rfc6749

    zusätzlich habe ich vor kurzem geschrieben eine Zusammenfassung, bricht es nach unten für verschiedene Anwendungs-Typen:

    http://leastprivilege.com/2016/01/17/which-openid-connectoauth-2-o-flow-is-the-right-one/

    InformationsquelleAutor der Antwort leastprivilege

Schreibe einen Kommentar