最近我在阅读关于OpenID和OAuth2的内容。我看到了一些问题(如这个和这个),但从我所读的内容来看,你可以使用OAuth进行认证,而不仅仅是授权。对于第二个问题,我读到了以下内容:
如果您在网站上拥有带有某些私有资源的帐户,您可以使用用户名/密码组合进行登录。如果应用程序想要获取某些私有资源,并且您不想向它们提供您的用户名/密码,请使用OAuth。
但是,如果您想使用唯一帐户登录多个网站,请使用OpenID。
这引起了更多的困惑(Dominick Baier在他的演示中说,如果你这些年没有听说过OAuth2,则在过去几年中你一直生活在洞穴里,所以似乎这就是我的情况):如果我拥有许多网络服务(API),并且如果我有一个STS服务来为所有API请求令牌,那么我是否正在使用OpenID? OAuth是否不能扩展授权以使用单个STS服务扩展到多个站点?
当您尝试向我解释时,请考虑我之前没有实施过身份验证或授权过程。
如果您在网站上拥有带有某些私有资源的帐户,您可以使用用户名/密码组合进行登录。如果应用程序想要获取某些私有资源,并且您不想向它们提供您的用户名/密码,请使用OAuth。
但是,如果您想使用唯一帐户登录多个网站,请使用OpenID。
这引起了更多的困惑(Dominick Baier在他的演示中说,如果你这些年没有听说过OAuth2,则在过去几年中你一直生活在洞穴里,所以似乎这就是我的情况):如果我拥有许多网络服务(API),并且如果我有一个STS服务来为所有API请求令牌,那么我是否正在使用OpenID? OAuth是否不能扩展授权以使用单个STS服务扩展到多个站点?
当您尝试向我解释时,请考虑我之前没有实施过身份验证或授权过程。
id_token提供有关用户的信息(姓名、ID、地址、电话等)。access_token提供访问用户拥有并由资源服务器管理的数据的权限。单页应用程序可以使用两个令牌或仅使用一个。如果SPA无法与令牌端点通信,因为CORS策略的原因,这是因为端点配置存在问题。 - Spomky-Labs