0
這個問題已經被問了20次,我讀了很多關於它......但我需要確認一些事情。我只想知道我是否理解好。OAuth&OpenID - 需要確認
,第一部分是關於定義:
鑑定:要識別客戶,知道這是究竟是誰。
授權:允許訪問一些資源。這裏沒有身份。
驗證:組合識別和授權。
我的第一個問題是:推理好不好?
然後,我的第二個部分是瞭解OAuth & OpenID登錄:
在開始的時候,對於基本實現,OpenID是僅用於標識部分和OAuth是授權的一部分。
但是現在,在升級之後,兩者都傾向於認證部分。
例如,OAuth基本上只允許一個應用程序通過網絡訪問另一個應用程序,而無需用戶的密碼或關鍵信息。它只是做一次,並生成一個令牌,可以撤銷或刷新,並需要爲每個請求提供。現在
,與基本實現OAuth的,如果S1讓S2獲得用戶信息,我可以訪問這些網址:path_to_s1/API /用戶/富 - path_to_s1/API /用戶/條和我將獲得用戶foo的信息(電子郵件 - 聯繫人...例如),當我將在第一個url上和用戶欄上時,我將在第二個url上。我只是在這裏授權而不是身份證明。爲了進行識別,我可以在OAuth的頂部實現一個API Key或OpenId Connect。
我的第二個問題是:推理好還是不好?
預先感謝您:)