1. 关于标准化JWT(JSON Web Token):本文地址:http://www.04007.cn/article/1190.html,未经许可,不得转载.
JSON Web Token (JWT) 是一个开放标准 (RFC 7519 ),它定义了一种紧凑且自包含的方式,用于在各方之间安全地传输信息作为 JSON 对象。此信息可以验证和信任,因为它是数字签名的。JWT 可以使用密钥(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。JWT格式的官方网站:https://jwt.io/ 可以对JWT格式进行测试和校验。本文地址:http://www.04007.cn/article/1190.html,未经许可,不得转载.
JWT的结构是由头部(header)、载荷(payload)、签证(signature)三段信息文本连接一起就构成了JWT字符串:JWT的格式通常为:xxxxx.yyyyy.zzzzz。具体加密实现流程可见官网及网络资源。本文地址:http://www.04007.cn/article/1190.html,未经许可,不得转载.
2.OIDC常用的三种授权模式:本文地址:http://www.04007.cn/article/1190.html,未经许可,不得转载.
OIDC常用的三种授权模式包括Authorization Code Flow(授权码模式)、bImplicit Flow(隐式模式)、Hybrid Flow(混合模式)。其中应用最为广泛的是授权码模式。
A:授权码模式,授权码模式适用于具有完整前后端的传统 Web 应用以及移动或桌面端应用。
B:隐式模式,隐式模式适用于没有后端的基于浏览器(JavaScript)的纯前端应用。在隐式模式中,认证服务器的授权接口不会返回授权码 code,而是在与用户完成认证后返回 id_token 和 access_token。
C:混合模式,混合模式是以上两种模式的组合,特点是能够在授权接口一次性获取到 c ode、id_token、access_token,一般 code 会与 id_token、access_token 混合出现。本文地址:http://www.04007.cn/article/1190.html,未经许可,不得转载.
三种模式中,授权码模式最为经典,其交互过程如下图所示,其交互过程见下描述:本文地址:http://www.04007.cn/article/1190.html,未经许可,不得转载.
2.用户与认证服务器完成身份认证。(浏览器跳转到 QQ 授权页面,用户输入 QQ 号和密码)
3.认证服务器向第三方应用返回授权码 code。(QQ 服务器将用户的浏览器重定向,将授权码发送到京东服务器)
4.第三方应用携带授权码访问认证服务器的 token 接口。(京东服务器携带授权码与 QQ 服务器交互)
5.认证服务器返回 access_token 和 id_token 给第三方应用。(QQ 服务器返回 access_token 和 id_token 给京东服务器)本文地址:http://www.04007.cn/article/1190.html,未经许可,不得转载.
此后,第三方应用可以利用 access_token 到资源服务器获取用户的信息,完成在第三方应用的注册和登录业务,并可以将 id_token 作为用户的身份凭证,存放在前端。第三方应用的前端需要访问受保护的资源(例如用户账单信息、购物车)时需要携带 id_token,后端验证 id_token 合法性,核实用户身份之后,返回相关资源数据。OIDC 认证时会签发两种 Token,一类叫 id_token,还有一类叫 access_token。id_token 是用户身份的凭证,只起到判定用户身份的作用。
本文地址:http://www.04007.cn/article/1190.html,未经许可,不得转载.
本文地址:http://www.04007.cn/article/1190.html 未经许可,不得转载. 手机访问本页请扫描右下方二维码.
|
|
手机扫码直接打开本页面 |
