大家好文章中,我们将看到OAUT2协议、术语和OAUT2流接近文章尾端时,我们将研究OAUT2和OIDC框架验证.

理解单签名和SAML、OAUT2和OIDC差分

OAUT2是什么

OAUT2授权协议允许网站或应用访问由Web应用程序代表用户托管的资源OAUT2现为行业标准,2012年取代OAUT1.0使用OAUT2,我们可以开发应用程序代表用户存取资源而不获取证书

OAuth2使用存取令牌代表用户访问资源即便没有定义标识符使用的具体格式JWT系统最常用令牌机制OAUT2存取令牌包含授权信息 代表用户访问资源

mosts有范围限制访问量取样访问令牌

{{

镜面:READ
"client_id" : "eTtB7w5lvk3DnOZNGReBlvGvIAeAywun",
"access_token" : "ODm47ris5AlEty8TDc1itwYPe5MW",
令牌类型:Bearer
}

上位令牌中,此令牌范围由 READ 向此客户端_id提供 。if we使用此令牌调用需要Write访问的API端点,则该API调用失效

OAUT2定义

• 资源所有者:用户授权应用存取账户半Eg:允许Bitbucket应用从Gmail联系重要用户用户会提到访问程序用户只允许读bucket访问用户Google账号