请告诉我这些第三方身份验证之间的区别,即 open id、o-auth1.0、o-auth1.0a 、o-auth2.0 和 open id connect。好吧,我对此进行了谷歌搜索,但无法找到所有这些之间的确切区别。一直以来,我都在 o-auth 和 open id 之间有所不同,但并不是所有这些都在一起。
任何参考或任何解释将不胜感激。提前致谢。
问问题
627 次
1 回答
6
首先,请注意身份验证和授权之间的区别:并非您问题中的所有协议都实际进行身份验证。
在身份验证期间,您向其他人证明您的身份(例如出示驾驶执照),请参阅 OpenId。
在授权期间,您授予其他人使用受保护资源的访问权限(例如,提供汽车钥匙),可能不会暴露您的身份,请参阅 OAuth。OAuth 1.0 可以工作,但一个常见的抱怨是服务器和客户端都必须进行大量加密,因此它在客户端不是轻量级的,并且不支持嵌入式客户端(例如 javascript)。OAuth 1.0a 解决了一个安全问题,但它已过时,该修复已包含在原始规范 (RFC 5849) 中。OAuth 2.0 支持远程 Web 应用程序和嵌入式/javascript 客户端,并允许更轻松地实现客户端应用程序。
OpenId Connect 将 OpenId 和 OAuth(从而提供身份验证和授权)结合为 OAuth 2.0 协议的一个小扩展。
于 2014-09-02T10:43:08.640 回答