OpenID属性交换 - 我应该使用它吗？

在云计算领域，OpenID Connect（OIDC）是一种身份验证协议，它允许用户使用单个身份验证令牌（token）访问多个应用程序和服务。OIDC 是一种基于 OAuth 2.0 的授权协议的简化，它提供了一种简单的方法来验证用户身份，并获取有关用户的基本配置文件信息。

关于 OpenID Connect 的属性交换，它是一种安全的方式来获取用户的基本配置文件信息，例如姓名、电子邮件地址等。属性交换允许应用程序从 OIDC 提供商请求额外的用户信息，以便在应用程序中使用。

在决定是否使用 OpenID Connect 属性交换时，需要考虑以下几点：

用户隐私：使用 OpenID Connect 属性交换可以帮助应用程序获取有关用户的更多信息，但是需要确保用户的隐私得到充分保护。
安全性：使用 OpenID Connect 属性交换时，需要确保数据传输的安全性，防止数据泄露或被恶意攻击者利用。
兼容性：使用 OpenID Connect 属性交换需要确保与应用程序和服务的兼容性，以确保无缝访问。

总之，如果您需要获取用户的基本配置文件信息，并且希望提供更好的用户体验，那么 OpenID Connect 属性交换可能是一个好的选择。但是，在使用 OpenID Connect 属性交换之前，需要仔细考虑安全性和兼容性问题，并确保遵守用户隐私政策。

相关·内容

Web 单点登录系统

Web安全方面最具挑战性的一个问题是维持一次无缝操作和安全环境时, 使各不相同的安全系统达到一体化。...● 属性断言(Attribute Assertion):属性断言声称特定主体具有特定的属性。属性可通过URI(统一资源标识)或用来定义结构化属性的一种扩展模式进行详细说明。...有一些互联网公司，拥有众多很多帐号，例如GOOGLE、YAHOO、Facebook，希望别人的系统使用它们的帐号登陆。他们希望一种足够简单的WEB SSO规范，于是选择一种草根网络协议OpenID。...例如GOOGLE采用OpenID + OAuth。目前支持OpenID有Yahoo、Google、Windows Live。...Open ID和SAML两种规范，都将会减少系统间交互的成本，我们提供Open API时，应该支持其中一种或者或两种规范。

2.2K10 0

「应用安全」OAuth和OpenID Connect的全面比较

但是，基本上，我将从纯工程师的角度来写这篇文章。 2.OAuth是否必要？ “我们希望在我们的公司网站上这样做。我们应该实施OAuth吗？“ - 这经常被问到。...换句话说，授权过程包括认证过程作为一个部分的事实使事情变得混乱。如果三个元素应该被开发人员使用的单词替换，“who”可以替换为“user”，“who”替换为“client application”。...当我收集有关OpenID Connect的信息时，我认为我应该实现该功能，因此请阅读OpenID Connect Core 1.0和其他相关规范。...需要额外考虑数据库表设计来存储本地化属性值。以下小节是我对客户应用程序属性的个人意见。 6.1 客户类型我担心定义规范是一种错误2....错误时参数名称错误以下OAuth实现在返回错误代码时使用errorCode而不是error：线 10.代码交换的证明密钥 10.1。PKCE是必须的你知道PKCE吗？

2.4K6 0

OAuth 2.0身份验证

文章前言浏览网络时，几乎可以肯定您会遇到一些使您可以使用社交媒体帐户登录的网站，该功能很可能是使用流行的OAuth 2.0框架构建的，OAuth 2.0对于攻击者来说非常有趣，因为它非常常见，而且天生就容易出现实现错误...https://portswigger.net/web-security/all-labs#oauth-authentication OAuth 2.0基本介绍 OAuth是一种常用的授权框架，它使网站和...连接规范定义的标准化作用域，稍后我们将详细介绍OpenID连接 state：存储与客户端应用程序上当前会话关联的唯一的、不可访问的值，OAuth服务应该在响应中返回这个精确的值，以及授权代码，通过确保对...，一旦知道授权服务器的主机名，就应该始终尝试向以下标准端点发送GET请求： /.well-known/oauth-authorization-server /.well-known/openid-configuration...该链允许您在最终将令牌泄漏到外部域之前通过一系列脚本传递令牌 XSS漏洞，尽管XSS攻击本身会产生巨大的影响，但攻击者通常会在一个很短的时间内访问用户的会话，然后再关闭选项卡或离开，由于HTTPOnly属性通常用于会话

3.3K1 0

适用于Java开发人员的微服务：管理安全性和机密

这是一个巨大的话题，它包含了很多不同的方面，不应该是事后才想到的。...五.身份提供者（Identity Providers）一旦确定身份验证和授权决定后，下一个明显的问题是，您应该自己实施所有事情还是应该寻找现有解决方案？...承认事实，您的要求是如此独特，以至于您不得不浪费工程时间并构建自己的实现吗？它是您业务的核心吗？令人惊讶的是，有多少组织陷入DIY模式并一遍又一遍地重新发明了轮子。...它使您几乎不需要代码即可轻松保护应用程序和服务。...Reservation Service通过使用bootstrap.yml配置文件来利用它。

1.2K3 0

3.基于OAuth2的认证（译）

实际上，如果你说“我有OAuth2，并且我需要身份认证”，那么请继续阅读。什么是认证（Authentication）？...另一个重要的好处是，用户可以同时将访问其他受保护的API委托给他们的身份，使应用程序开发人员和最终用户管理更简单。...可以在没有OAuth的情况下构建身份验证协议吗？当然可以，就像有很多种非巧克力软糖一样。但是我们今天在这里谈论的是专门针对基于OAuth2的身份认证，以及可能出现什么问题，以及如何确保安全和美味。...这将允许攻击者通过简单地在正确的调用序列中交换用户标识符来模拟一个幼稚的（naive）Client上的用户。...应该指出的是，Client不再需要使用access token，因为Id token已经包含了处理身份认证所需的所有信息。

1.6K10 0

从0开始构建一个Oauth2Server服务发起认证请求

你的应用程序唯一应该用它做的就是用它来发出 API 请求。某些服务将使用 JWT 等结构化令牌作为其访问令牌，如自编码访问令牌中所述，但在这种情况下，客户端无需担心解码令牌。...要记住的是，访问令牌对客户端是不透明的，应该只用于发出 API 请求而不是解释它们自己。...例如，Google 的 API 使用 OpenID Connect 提供一个 userinfo 端点，该端点可以返回有关给定访问令牌的用户的信息，或者您可以改为从 ID 令牌获取用户信息。...这是最新的安全最佳当前实践中的建议，它使授权服务器能够检测刷新令牌是否被盗。这对于没有客户端密钥的客户端尤其重要，因为刷新令牌成为获取新访问令牌所需的唯一东西。...您可能会注意到“expires_in”属性指的是访问令牌，而不是刷新令牌。刷新令牌的到期时间有意从不传达给客户端。这是因为即使客户端能够知道刷新令牌何时过期，也无法采取任何可操作的步骤。

1543 0

如何把你的博客作为一个 OpenID

前面我介绍了 OpenID 这个插件，但是从留言可以知，很多同学还是对 OpenID 不是很了解，今天对此作进一步介绍，并介绍一个更 Cool 的功能，把自己的博客地址作为 OpenID。...如我的 OpenID 是 fairyfish.net，我博客的地址，我可以使用它登录任何支持 OpenID 的站点，并且因为我是唯一控制我博客首页的人，所以我就是唯一可以用它作为身份验证的人。...如果你想和我一样把自己的博客地址作为 OpenID（你应该这样做），下面就是详细的步骤： 1. 在 OpenID 提供网站注册一个 ID。...下面是我上面提供的四个 OpenID 提供者的服务器地址（你也可以通过查看你 OpenID 页面的源代码查到）： OpenID Provider Server URL LiveJournal http:...username=denishua.myopenid.com" /> 把其中我的 ID 换成你的 ID，谢谢 shiweiyu 和 Kusanagi 帮忙指出。

2593 0

4个API安全最佳实践

让我详细说明它们的优势，并展示如何发展您的 API 安全。 1. 使用 API 网关当上线并公开 API 时，在 API 前面放置一个 API 网关。...因此，您可以使用它来强制执行通用策略。例如，您可以确保所有公开可用的端点都支持 HTTPS。 HTTPS 使用加密的通信通道（TLS）。但是，TLS 不限于 HTTPS。...我建议将 TLS 用于在 TCP 上运行的任何协议。这样，您可以加密传输中的数据，保护它免受窃听，从而避免（某些）对您通过 API 公开的数据的未经授权的访问。...您还应该考虑实施身份验证和授权。为此，请使用 OAuth 或 OpenID Connect 等协议。这两种协议都允许您在访问令牌的帮助下委托对 API 的访问，同时保持信任管理集中。 2....结合 API 在每个请求上验证访问令牌并根据令牌中的声明进行访问控制，您可以避免对象级授权漏洞和对象属性级授权漏洞。使用 OAuth，授权服务器承担了重要且困难的安全工作。

561 0

学习Identity Server 4的预备知识

交换凭证获取token并使用token ? 有一个已注册用户, 她为了获取token, 就需要与authorization server进行通信....永远不要让别人知道private key. public key 是用来验证token的, authorization server 会让所有人都知道这个public key的. api或者各种消费者应该一直检验...它们可以向authorization server申请public key, 并使用它来验证token....可以有多种方式来实现OAuth和OpenId Connect这套协议. 你可以自己去实现. 我要使用的是Identity Server 4....Payload有时候也叫做Claims, 它通常包括发布者issuer(authorization server), Audience, 有效期, 有时也包括token应该是从什么时候开始有效, Client

1.4K5 0

群晖NAS上安装虚拟机教程在同一设备上运行多个不同的操作系统和应用程序

前言想要在同一设备上运行多个不同的操作系统和应用程序，实现更高效的资源利用吗？...步骤3：创建虚拟交换机为了使虚拟机能够与外部网络通信，您需要先创建一个虚拟交换机。在VMM中，单击左侧导航栏中的“网络”选项卡，然后单击“创建”。...在弹出窗口中，单击“网络”选项卡，并选择您刚才创建的虚拟交换机。您也可以配置其他网络属性，例如MAC地址和IPv6地址。...如果您已正确配置虚拟机的网络设置，则应该可以通过外部网络连接到它并使用它。总结通过以上步骤，您可以在群晖NAS上成功安装和运行虚拟机，使您的资源利用更加高效。...但是，本文提供的教程和流程应该可以帮助您入门，快速掌握群晖NAS上安装虚拟机的方法。

10.4K6 0

使用基于token的安全体系有什么优点?

交换凭证获取token并使用token 有一个已注册用户, 她为了获取token, 就需要与authorization server进行通信....永远不要让别人知道private key. public key 是用来验证token的, authorization server 会让所有人都知道这个public key的. api或者各种消费者应该一直检验...它们可以向authorization server申请public key, 并使用它来验证token....可以有多种方式来实现OAuth和OpenId Connect这套协议. 你可以自己去实现. 我要使用的是Identity Server 4....Payload有时候也叫做Claims, 它通常包括发布者issuer(authorization server), Audience, 有效期, 有时也包括token应该是从什么时候开始有效, Client

8202 0

微信公众号开发基本流程

（2）既然目的是获取用户基本信息，微信不是提供了专门的接口吗？非要网页授权？微信平台提供了两种方式获取用户的openid （3）网页授权有哪几种机制？分别是怎样实现？应用于什么场景？...二、了解公众号管理页面我们在微信公众平台扫码登录后可以发现管理页面左侧菜单栏有丰富的功能：大概可以分为这几大模块：首页、功能、小程序、管理、推广、统计、设置、开发作为开发人员，首先应该关注的是设置...并且所有的配置都可在一个页面上编辑，使开发测试变得极其便利。...（2）既然目的是获取用户基本信息，微信不是提供了专门的接口吗？非要网页授权？...别高兴太早，这种通过消息交互获取用户信息的方式，用户占主动地位，我们项目后端服务被动接受，那么如果我有个基本需求：我想在自定义菜单 – 对应我们网站的前端页面上展示微信用户基本信息，能做到吗？

2.8K3 1

Php公众号40029,网页授权获取微信用户信息错误40029：不合法的oauth_code

(可这种情况只是偶尔发生，过一会儿再进入又正常了)，请教这个问题应该如何解决？...请问有答案吗？...静默获取也偶尔会有这样的问题，结果用户自己结束微信程序再登录就好了，很奇怪有没有人知道为什么我也遇到了这个问题，有没有人知道，求分享 accessToken 信息需要自行保存的，你应该是重复授权了。..., 我是nodejs服务器+nginx 由于是为了使用微信支付, 生成统一订单是需要openid, 我把openid保存到数据库里面, 以获取过openid的用户不再通过code获取, 但如果出现过40029...很奇怪,openid 应该是唯一的,不知道是为什么类似，我这儿是进入页面时拿到CODE，然后用$.ajax()方法去验证改用户openid是否已经获取过了注释掉这个$.ajax()方法，则一切正常，

4.1K1 0

文创NFT数字臧品系统开发功能与用户登陆源码分享

数字收藏以其独特的区块链属性，带动文化艺术创作、文化旅游、文化博物馆乃至数字领域品牌企业的发展，数字化艺术产品，为创造元宇宙之路奠定基础文化创意数字收藏是文化产业整合数字收藏的途径，建设文化强国的方向，...我们将模拟植物的生长过程，以数字收藏的形式呈现真实的珍藏植被，确认权利并追踪来源，让每个参与者都可以使用它来保护珍藏植物的力量。...因此，为了区分NFT，我们应该坚持合规原则，推动区块链技术在数字版权中的应用，文化创意产业等领域数字收藏从NFT数字资产的财务属性和流通价值中剥离出来，成为NFT技术在数字版权中的商业应用。...平台支持上市交易竞价交易，协议交易和其他交易模式图片系统功能包括：01数字收藏铸造：为数字收藏提供存储在链上的证书的唯一身份02数字收藏销售拍卖盲盒订阅：为数字收藏提供销售渠道，您可以使用多种销售模式03数字收藏彩票积分交换...$wechatH5UserInfo->openid) $wechatH5UserInfo->openid = $wechatUserInfo->openid

4173 0

oidc auth2.0_使用Spring Security 5.0和OIDC轻松构建身份验证「建议收藏」

我还将向您展示如何通过OpenID Connect（OIDC）检索用户的信息。您知道Okta提供免费的开发人员帐户，每月最多有7,000个活跃用户，对吗？...这应该足以使您的杀手级应用破土动工。 Spring Security使使用OAuth 2.0进行身份验证变得非常容易。它还提供了通过OIDC获取用户信息的功能。...单击链接后，您应该会看到一个登录屏幕。输入用于创建帐户的凭据，登录后，您应该会看到类似以下的屏幕。注意：可以更改某些内容，以便Principal#getName()返回不同的值。...这些资源提供了有关Okta和OIDC的其他信息： Okta开发人员文档及其OpenID Connect API 身份，声明和令牌– OpenID Connect入门，第1部分，共3部分行动中的...OIDC – OpenID Connect入门，第2部分，共3部分令牌中有什么？

3.1K2 0

三方 Cookie 替代品 — 隐私沙盒的最新进展

大家好，我是 ConardLi，今天和大家一起来看一下 Chrome 隐私沙盒的最新进展。可能很多小伙伴有这样的疑问，我正常做业务的需要关注浏览器的这些安全策略的变化吗？...曾经我在公众号的多篇文章里有分析过浏览器对 Cookie 的逐步限制和淘汰，比如下面两篇文章：详解 Cookie 新增的 SameParty 属性当浏览器全面禁用三方 Cookie 如果你想了解本篇文章的背景..."https://idp.example", request: "client_id=1234&nonce=Ct60bD&response_type=code&scope=email openid...我们可以通过开启 Cookie 的 SameParty 属性来实现，具体可以参考我这篇文章：详解 Cookie 新增的 SameParty 属性缓存分区从性能的角度来看，浏览器的缓存机制已经运行了很长时间了...尽管在联邦学习过程中，会存在信息交换，但是联邦学习框架的存在，保证了信息交换时，彼此匿名并且脱敏，无法反向破解或者穷举，保证个人隐私和法务合规性。

6881 0

OAuth2.0 OpenID Connect 一

然后是 SAML（安全断言标记语言）——一种使用 XML 作为其消息交换类型的开放标准。...openid是必需的范围。所有其他 - 包括自定义范围 - 都是可选的。...该令牌可以用作不透明标识符，也可以检查其他信息——例如身份属性。它调用这些属性claims。该规范还包括对加密签名的 JWT（称为 JWS）和加密的 JWT（称为 JWE）的规定。...如果我能以某种方式获得并“携带”你的访问令牌，我就可以伪装成你。这些令牌通常具有较短的生命周期（由其到期决定）以提高安全性。...出示访问令牌使端点可访问。下面是一个使用HTTPie的例子： http https://micah.oktapreview.com/oauth2/...

3483 0

前端工作方式要换了？HTMX简介：无需JavaScript的动态HTML

这听起来很有前景，不是吗？每个web开发者都知道有很多常见的模板化用例。...可编辑版本作为一个表单元素到达，其中包含x-put属性，该属性标识PUT HTML方法和要使用的端点。问题变成，HTMX如何实现这种“交换”和后续的PUT，而不做任何JavaScript呢？...HTMX客户端将根据属性将它们放在它们应该在的位置，并处理发送由服务消费的适当数据。负责接收数据的端点可以像典型的端点一样操作，区别在于响应应该是必要的HTMX。...当然，还有客户端模板选项，它使服务器成为一个熟悉的JSON发射器。我试图想象它在一个大型软件项目中是如何工作的。它会减少大规模项目中的总体复杂性吗？ Gross对复杂性有自己的想法。...使用JSON作为协议意味着使客户端更加智能、更加复杂，并使架构变得不那么自描述。也许它都可以工作。

2691 0

IdentityServer（11）- 使用Hybrid Flow并添加API访问控制

关于Hybrid Flow 和 implicit flow 我在前一篇文章使用OpenID Connect添加用户认证中提到了implicit flow，那么它们是什么呢，它和Hybrid Flow有什么不同呢...OpenID Connect和OAuth 2.0组合的优点在于，您可以使用单一协议和令牌服务进行单一交换。在前一篇文章中，我们使用了OpenID Connect implicit flow。...OpenID Connect包含一个名为“混合流”的流程，它可以让我们两全其美，身份令牌通过浏览器通道传输，因此客户端可以在做更多的工作之前验证它。...这是使用AllowedGrantTypes属性表示的。接下来我们需要添加一个客户机密钥。这将用于反向检索通道上的访问令牌。...使用访问令牌 OpenID Connect中间件会自动为您保存令牌（标识，访问和刷新）。这就是SaveTokens设置的作用。技术上，令牌存储在cookie。

1.2K4 0

基于DotNetOpenAuth实现OpenID 服务提供者

下面的部分我重点是在如何把自己网站的账号通过OpenID开放出来，类似于QQ，Gmail，baidu，盛大通行证账号的一键式登陆。...如果您只会说英语，您能记住用中文写的一长串地址吗？国际化资源标识符（或 IRI）支持非 ASCII 字符，或者更准确的说是 Unicode/ISO 10646 字符。...2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" /> 然后，指定是否应将国际化域名 (IDN) 分析应用到域名中，以及是否应该应用...启用 IDN 只会影响 Uri.DnsSafeHost 属性的值。...根据您所使用的 DNS 服务器，在 idn 元素的已启用属性中，有三种可能的 IDN 值供您使用：“All”会将 IDN 名称 (Punicode) 用于所有域名。

1.7K10 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云