OpenID Connect gibt Ihnen ein Zugriffstoken sowie ein ID-Token. Das ID-Token ist ein JWT und enthält Informationen zum authentifizierten Benutzer. Es ist vom Identitätsanbieter signiert und kann ohne Zugriff auf den Identitätsanbieter gelesen und überprüft werden.

Darüber hinaus standardisiert OpenID Connect einige Dinge, die oauth2 der Wahl überlässt. Zum Beispiel Bereiche, Endpunkterkennung und dynamische Registrierung von Clients.

Dies erleichtert das Schreiben von Code, mit dem der Benutzer zwischen mehreren Identitätsanbietern wählen kann.

OAuth bietet nur und sollte nur eine Autorisierung mithilfe eines Zugriffstokens bereitstellen. OpenID Connect basiert auf OAuth 2, um Informationen zur Benutzerauthentifizierung bereitzustellen. Es bietet Ihnen jedoch keine robustere Implementierung als OAuth (da es OAuth verwendet und einige zusätzliche Interaktionen mit einem OpenID-Anbieter hinzufügt).

OpenID Connect 1.0 ist eine einfache Identitätsschicht darüber das OAuth 2.0 [RFC6749] -Protokoll. Es ermöglicht Clients, die Identität des Endbenutzers anhand der von einem Autorisierungsserver durchgeführten Authentifizierung zu überprüfen und grundlegende Profilinformationen über den Endbenutzer auf interoperable und REST-ähnliche Weise abzurufen. OpenID Connect Core 1.0 - Entwurf 17

OpenID Connect bietet Ihnen eine "Standard" -Methode zum Abrufen der Benutzeridentität. Wenn Sie OAuth und die API verwenden, sollten Sie Ihre Anforderung für jede Ressource anpassen, die möglicherweise nicht immer dieselben Informationen enthält oder sich im Laufe der Zeit ändert. Und konzeptionell verwenden Sie OAuth, um eine API verwenden zu dürfen, nicht um einen Benutzer zu authentifizieren.

Als Hintergrund werden das OAuth 2.0 Authorization Framework [RFC6749] und die OAuth 2.0 Bearer Token Usage [RFC6750] verwendet. Spezifikationen bieten einen allgemeinen Rahmen für Anwendungen von Drittanbietern, um eingeschränkten Zugriff auf HTTP-Ressourcen zu erhalten und zu verwenden. Sie definieren Mechanismen zum Abrufen und Verwenden von Zugriffstoken für den Zugriff auf Ressourcen, definieren jedoch keine Standardmethoden zum Bereitstellen von Identitätsinformationen. Insbesondere kann OAuth 2.0 ohne Profilerstellung keine Informationen zur Authentifizierung eines Endbenutzers bereitstellen. OpenID Connect Core 1.0 - Entwurf 17

Beachten Sie, dass OpenID connect ein id_token mit einigen Informationen zum Benutzer bereitstellt. Wenn Sie jedoch alle Informationen benötigen, benötigen Sie immer noch das access_token , um den OpenID-Anbieter aufzufordern, die Benutzerinformationen abzurufen (was mich beim ersten Mal verwirrt hat). Dies zeigt, dass das Anfordern von Benutzerinformationen von einer API oder vom OpenID-Anbieter fast dieselbe Methode verwendet. Siehe 5.3.1. Benutzerinfo-Anfrage im Entwurf.

OAuth ist ein Autorisierungsprotokoll, mit dem die Berechtigung zum Zugriff auf eine geschützte Ressource erteilt werden kann. Ein Nebenprodukt des Autorisierungsprozesses ist die Authentifizierung des Benutzers.

Technisch gesehen muss OAuth Ihnen keine Informationen über den Benutzer geben. Es wird überprüft, ob der Benutzer der Anwendung die Berechtigung zum Zugriff auf einige Daten erteilt hat. Dies wird durch den Umfang der Autorisierungsgewährung geregelt.

OpenID Connect bietet der Anwendung eine Möglichkeit, Informationen über den authentifizierten Benutzer abzurufen. Vor allem bietet es ein gewisses Maß an Sicherheit, dass die Informationen gültig sind (soweit es den Autorisierungsserver betrifft). Dies kann dann verwendet werden, um den Identitätsverbund zu erleichtern.

In der Vergangenheit wurde der Verbund mit OAuth erreicht, indem ein Bereich gewährt wurde, der den Zugriff auf die Identitätsinformationen des Benutzers ermöglichte. OpenID Connect standardisiert diesen Bereich.

OpenID Connect ist ein Profil von OAuth2 ..., das eine Architektur definiert, mit der eine Person einen Identitätsanbieter autorisieren kann, bestimmte Benutzeransprüche an einen Client (Website / mobile Anwendung) freizugeben.

OAuth2 bietet die Erteilung der Berechtigungsnachweise für Ressourceninhaber, die von IAM-Experten zu Recht als "The Devil" bezeichnet werden.

Ein gängiges Muster für die OpenID Connect-API besteht aus drei Schritten:
1) Abrufen eines Codes
2) Abrufen von Token wie access_token , refresh_token und id_token
3) Abrufen von Benutzerinformationen, die Ansprüche wie Benutzername, E-Mail usw. enthalten br> Das Schema für das id_token, bei dem es sich um ein JWT handelt, wird wie viele andere Details im OpenID Connect-Bereich definiert.

Ein weiterer Grund für die Verwendung von OpenID Connect ist, dass es eine sichere Lösung für die zentralisierte Authentifizierung für mobile Software gibt (mindestens IOS und Android). Die derzeit von Google definierte Best Practice besteht darin, neue Sicherheitsfunktionen zu verwenden, die verhindern, dass eine mobile Anwendung Cookies oder Anmeldeinformationen in einer Webansicht sieht. Google hat die AppAuth IOS- und Android-Bibliotheken veröffentlicht, weil sie wirklich nicht möchten, dass Sie Google-Anmeldeinformationen verlieren! Zum Zeitpunkt dieses Schreibens gibt es mehrere OpenID-Anbieter (auch bekannt als IDPs ...), die die Google OpenID Connect AppAuth-Software unterstützen, darunter: Google, OKTA, Ping und mein Produkt Gluu.

Siehe Außerdem:

Die Verwendung von OAuth als Authentifizierungsmethode wird nicht empfohlen, sondern wird explizit als delegierte Autorisierungsmethode konzipiert.

Facebook verwendete OAuth als Authentifizierungsmethode, aber eine unternehmungslustige Person entdeckte, wie der access_token von Facebook - vollständiger Blogeintrag

OpenID Connect macht es viel schwieriger, Zugriffstoken über einen solchen Mechanismus zu stehlen.

Open ID Connect basiert auf OAuth und ist daher robuster. OAuth ist das Protokoll, das nur für die Autorisierung verwendet wird, und Open ID Connect ist OAuth sehr ähnlich, kombiniert jedoch auch die Funktion von OAuth. Mit diesem Protokoll können Sie die Kommunikation zwischen Ihren RPs und IPs starten. Das OAuth-Protokoll weist verschiedene Lücken auf. Verwenden Sie daher besser Open Id Connect.