IdentityServer流
IdentityServer支持不同的OpenId连接流,这些流在Flows枚举中定义并为客户端设置。每种类型的流都有示例,并且在文档中有很多对它们的引用,但是我在documentation中找不到流的简单定义列表,因为它们太明显了,无法用语言来解释。但我猜他们不是。你能多讲讲它们之间的区别吗?也许我们可以把它们加到文档中去?
那么什么是:隐式流、资源所有者密码凭证流、授权码流、客户端凭证流、自定义授权<代码>E211流和<代码>E112混合<代码>E213流?另外,哪些是OAuth流,哪些是OpenID连接流?
谢谢!
回答 4
Stack Overflow用户
发布于 2015-04-23 20:49:12
我也面临着同样的问题,目前的工作还在进行中。当我完成文档后,我可能会在这里发布它。暂时:请查看草案:
Enrich IdentityServer Documentation with OIDC and OAuth2 Flows section #73
Stack Overflow用户
发布于 2015-10-29 06:53:51
来自至少特权的第一个链接:和Aharon Paretzki's OAuth 2 Simplified
流程决定如何将ID令牌(即授权码)和访问令牌(即‘令牌’)返回给客户端:
授权代码流:OAuth 2.0流,其中
- 从授权端点
- 返回授权码,并且从用于基于服务器的调用(API)的令牌端点
- 返回所有令牌(作为第二阶段,以换取授权码),这些API可以维护其客户端机密。允许更强的安全性,只要没有人可以访问“客户端机密”。
隐式流:OAuth 2.0流,其中
- 所有令牌直接从授权终结点
- 返回,不使用令牌终结点或授权码。
- 用于移动和基于web的应用程序,无法维护客户端秘密的机密性,因此需要由身份验证服务器本身颁发令牌。这不太安全,建议将服务器设置为拒绝API使用的隐式流调用,并仅允许基于浏览器和基于移动的应用程序使用。
混合流:OAuth 2.0 flow,其中
- 从授权端点返回授权码,
- 某些令牌直接从授权端点返回,其他令牌(作为第二阶段,用于交换授权码)从需要这两个流的Token Endpoint.
- Used返回。
Stack Overflow用户
发布于 2015-04-17 03:35:41
请看规范--这些都已经写下来了:
http://openid.net/specs/openid-connect-core-1_0.html和https://www.rfc-editor.org/rfc/rfc6749
此外,我最近写了一篇总结,将其细分为不同的应用程序类型:
http://leastprivilege.com/2016/01/17/which-openid-connectoauth-2-o-flow-is-the-right-one/
https://stackoverflow.com/questions/29683624
复制相似问题