मैंने अब इस पर कई अलग-अलग लेखन-अप पढ़े हैं, लेकिन मैं अभी भी प्राथमिक मान के रूप में अस्पष्ट हूं कि ओपनआईडी कनेक्ट OAuth 2.0 के शीर्ष पर प्रदान करता है।ओपनआईड कनेक्ट ओएथ 2.0 में क्या जोड़ता है (ओएथ 2.0 प्रमाणीकरण के लिए पर्याप्त क्यों नहीं है?)
मेरी समझ:
ओएथ 2.0 प्रवाह के माध्यम से एक्सेस टोकन प्राप्त करते समय, क्लाइंट को पता चला है कि उपयोगकर्ता प्रमाणीकरण सर्वर द्वारा प्रमाणीकृत किया गया था। ऐसा लगता है कि ओपनआईडी कनेक्ट सिर्फ उपयोगकर्ता की जानकारी के साथ एक आईडी टोकन जोड़ रहा है - लेकिन वह जानकारी एक्सेस टोकन का हिस्सा हो सकती है या संरक्षित संसाधन (जैसे एक अलग उपयोगकर्ता विवरण संसाधन) के माध्यम से उपलब्ध हो सकती है। ऐसा लगता है कि ओपनआईडी कनेक्ट के निर्माण को उचित ठहराना प्रतीत नहीं होता है, इसलिए मुझे यकीन है कि मुझे कुछ याद आ रहा है ...
आपकी मदद के लिए धन्यवाद!
अधिक जानकारी जोड़ना जो एक टिप्पणी के लिए बहुत लंबा है। अब तक आपकी मदद के लिए बहुत बहुत धन्यवाद।
मुझे लगता है कि मैं करीब आ रहा हूं, आपकी प्रतिक्रियाओं के लिए धन्यवाद। तो मैंने इस आलेख की समीक्षा की: http://oauth.net/articles/authentication/। यह कहता है कि "ओथ यूजर के बारे में बिल्कुल कुछ नहीं कहता है"। हालांकि, आप एक्सेस टोकन जारी करने से पहले एंड-यूजर को प्रमाणीकृत करने के लिए उसी सेवा पर भरोसा कर रहे हैं। "सामान्य नुकसान अनुभाग" में, लेख चर्चा करता है कि आप प्रमाणीकरण के लिए एक्सेस टोकन का उपयोग क्यों नहीं कर सकते हैं। मैं मेरी समझ में उस के साथ निम्न समस्याओं है:
प्रमाणीकरण पहुँच टोकन के प्रमाण के रूपपहुँच टोकन कुछ पहले बिंदु पर प्रमाणीकरण का प्रमाण था। यदि क्लाइंट एक्सेस टोकन प्राप्त करने के बाद किसी बिंदु पर उपयोगकर्ता को प्रमाणीकृत करना चाहता है, तो क्यों नहीं मौजूदा ओउथ प्रवाह क्लाइंट तक पहुंचने की कोशिश कर रहे मौजूदा एंड-यूजर के साथ दोहराएं? अगर ग्राहक किसी भी बिंदु पर प्रमाणीकरण की आवश्यकता है, Oauth प्रवाह दोहराने - सबूत उपरोक्त के समान के रूप में एक संरक्षित संसाधन के
प्रवेश।
पहुंच टोकन को इंजेक्शन नहीं स्पष्ट कैसे OpenID दर्शकों प्रतिबंध के इस
अभाव क्यों यह मुश्किल एक अनुभवहीन ग्राहक एक वैध पहचान पत्र सौंपने के लिए टोकन पहुँच टोकन के साथ है में मदद करता है? क्या यह सर्वर-साइड प्रवाह के लिए बिल्कुल प्रासंगिक है? और फिर, यदि आवश्यक हो तो ओथ प्रवाह दोहरा सकते हैं।
अमान्य उपयोगकर्ता जानकारी इंजेक्शन यह एक हस्ताक्षर, नहीं एक अलग टोकन की आवश्यकता होती लगती है। यदि ओएथ प्रवाह एचटीटीपीएस पर होता है, तो क्या यह पहचान प्रदाता के लिए दो बार उपयोगकर्ता विवरण पर हस्ताक्षर करने के लिए कोई सुरक्षा जोड़ रहा है?
हर संभावित पहचान प्रदाता यह उचित लगता है, लेकिन यह अभी भी अजीब लगता है, तो एकमात्र उद्देश्य उपयोगकर्ता जानकारी के लिए प्रयोग किया जाता है टोकन के मानकीकरण किया जाएगा के लिए अलग प्रोटोकॉल।
धन्यवाद कि संदर्भित करने के लिए - मैं इसे भर में आया था और अब यह पुन: पढ़ने, लेकिन मैं लेख स्पष्टीकरण पर काफी स्पष्ट नहीं कर रहा हूँ - मैं ऊपर मेरे सवालों का विस्तार किया। – allstar