Я использовал учетную запись владельца ресурса OAuth ранее для авторизации.
Однако теперь я хотел бы рассмотреть возможность использования openid connect, для проверки подлинности и авторизации, и задавался вопросом, поддерживается ли учетный поток владельца ресурса в openid connect.
Да, OpenID Connect поддерживает все типы предоставления OAuth 2.0, включая гранты мандата владельца ресурса и гранты для мандата клиента.
Как мы знаем, грант авторизационного кода и неявный грант являются типичными потоками с тремя ногами, включая взаимодействие между клиентом, сервером авторизации и пользователем. Хотя грант Credential Credential Resource Credential Grant и Client Credential Grant 2-legged, это означает, что клиент использует предварительно авторизованные области, чтобы не было никакого взаимодействия с пользователем, устраняя необходимость выполнять одну из ножек в типичном потоке.
Вот ссылка: Настройка поставщика подключения OpenID для включения двухсторонних запросов OAuth
Ответ: ДА. Он не является явным в спецификации, но OpenID Connect поддерживает все потоки OAuth 2.0, поскольку он является расширением OAuth 2.0.
Спецификация рассказывает о потоках, которые включают перенаправление браузера, поскольку они более распространены, более безопасны и менее хрупки, учитывая, что учетные данные владельца ресурса поддерживают только имя пользователя и пароль и только в спецификации OAuth 2 для обратной совместимости.
В настоящих системах единого входа вы хотите отвлечься от метода аутентификации пользователя в OP/IDP. Это можно сделать с помощью браузера. В потоке учетных данных "Владелец ресурса" клиент "видит" имя пользователя/пароль владельца ресурса в отличие от других потоков, что наносит ущерб основной цели федеративного протокола SSO, такого как OpenID Connect, где механизмы аутентификации и учетные данные должны быть независимыми от клиента/приложение. По этой причине вы не увидите много использования ROPC в OpenID Connect, за исключением, возможно, случаев использования внутри предприятия.
Но ваш пробег может варьироваться. поддержка в конкретных программах OP/AS и клиентских библиотеках.
Да. Я также иногда находил ответ на тот же вопрос. Согласно спецификации OpenId Connect, рекомендуется использовать типы предоставления authorization code и implicit для запросов OpenId Connect. Но не упоминается, что другие типы грантов не могут быть использованы. Поэтому вы можете использовать любые другие типы грантов для запроса аутентификации OpenId Connect. Существует некоторая почта из группы openid connect, которая была обсуждена по этому вопросу. Пожалуйста, найдите здесь здесь. Если ваш сервер авторизации OAuth2 поддерживает его, я думаю, что использовать его хорошо. Как я знаю, большинство серверов авторизации поддерживают его, как пример из здесь