【问题标题】:OIDC - when should I get id_token?OIDC - 我应该什么时候获得 id_token?
【发布时间】:2018-11-14 22:57:39
【问题描述】:

对于我的应用程序,我计划将 oauth2 Resource Owner Password Credential Grant 与 OIDC 服务器一起使用。
所以我想我对流程有点困惑。
所以据我了解 - 我应该取回 id_tokenaccess 令牌,因为当我们使用 Password 授予我们跳过授权步骤时 - 我理解正确吗?

大多数在线示例似乎是指获取id_token 以及授权请求,而不是访问令牌请求...请帮助。

编辑:我会欣赏建设性的批评,而不仅仅是投反对票。

【问题讨论】:

    标签: php oauth-2.0 openid-connect


    【解决方案1】:

    资源所有者密码凭据授予 (ROPCG) 是在 OAuth 2.0 framework 中定义的授予类型。 id 令牌由OpenID Connect protocol (OIDC) 定义。 OIDC 是 OAuth 2.0 的扩展(构建在)之上,因此它继承了 OAuth 2.0 的大部分内容

    如果您查看 OAuth 2.0 规范,您会看到 ROPCG 跳过了授权请求。这是作为最终用户(资源所有者)授权现在通过客户端应用程序本身获取的(对于身份验证代码流或隐式流,这是由身份验证服务器完成的)。所以token是通过授权服务器的token端点直接获取的。所以是的,它跳过了授权步骤,但客户端执行最终用户授权获取。

    现在用 ROPCG 授权来识别令牌。这取决于您使用的身份提供者。尽管 OIDC 规范没有提到 ROPCG 流程,但身份提供者仍然可以发布带有令牌响应的 id 令牌。 OAuth 2.0 规范也允许这样做。因此,如果您的身份提供者(授权服务器)支持这一点,那么您可以从令牌响应中获取 id 令牌。

    【讨论】:

    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2021-09-07
    • 2010-12-30
    • 2013-10-31
    • 2012-09-22
    • 1970-01-01
    相关资源
    最近更新 更多