IdentityServerstream
IdentityServer支持在Flows枚举中定义并为客户端设置的不同OpenId Connectstream。 还有每种stream程的样本,以及文档中对它们的许多引用,但我无法find文档中stream程的简单定义列表,就好像它们太明显,无法用文字解释。 但我想他们不是。 你能告诉我们更多关于这些差异吗?也许我们可以把这些添加到文档中?
那么什么是: 隐式stream, 资源所有者密码凭证stream, 授权码stream, 客户端凭证stream, 自定义授权stream和混合stream? 哪些是OAuthstream,哪些是OpenID Connectstream?
谢谢!
我面临同样的问题,目前这项工作还在进行中。 当我完成文档,我可能会在这里发布。 暂时:请检查草稿:
使用OIDC和OAuth2stream程第#73节丰富IdentityServer文档
更新: OIDC和OAuth2stream程
从至less特权的第一个链接:和Aharon Paretzki的OAuth 2 Simplified
stream程决定如何将ID令牌 (即授权码)和Access令牌 (即“令牌”)返回给客户端:
授权码stream程 :其中的OAuth 2.0stream程
- 从授权端点返回授权码
- 并且所有令牌(作为第二阶段,换取授权码)从令牌端点返回
- 用于基于服务器的调用(API),可以保持其客户机密的机密性。 只要没有人可以访问“客户机密”,就可以实现更强的安全性。
隐式stream程 :其中的OAuth 2.0stream程
- 所有令牌都直接从授权端点返回
- 也不使用令牌端点和授权码。
- 用于移动和基于Web的应用程序,不能保持客户机密的机密性,所以需要有由auth服务器本身发出的令牌。 这是不太安全的,build议服务器设置为拒绝API使用的隐式stream程调用,并且只允许基于浏览器和基于移动的应用程序。
混合stream程 :其中的OAuth 2.0stream程
- 从授权端点返回授权码,
- 一些令牌直接从授权端点返回,而另一些从令牌端点返回(作为第二阶段,以换取授权代码)。
- 在需要两种stream量的情况下使用。
看规格 – 已经全部写下来了:
http://openid.net/specs/openid-connect-core-1_0.html和http://tools.ietf.org/html/rfc6749
另外我最近写了一个摘要,将其分解为不同的应用程序types:
http://leastprivilege.com/2016/01/17/which-openid-connectoauth-2-o-flow-is-the-right-one/
