0
这个问题已经被问了20次,我读了很多关于它......但我需要确认一些事情。我只想知道我是否理解好。OAuth&OpenID - 需要确认
,第一部分是关于定义:
鉴定:要识别客户,知道这是究竟是谁。
授权:允许访问一些资源。这里没有身份。
验证:组合识别和授权。
我的第一个问题是:推理好不好?
然后,我的第二个部分是了解OAuth & OpenID登录:
在开始的时候,对于基本实现,OpenID是仅用于标识部分和OAuth是授权的一部分。
但是现在,在升级之后,两者都倾向于认证部分。
例如,OAuth基本上只允许一个应用程序通过网络访问另一个应用程序,而无需用户的密码或关键信息。它只是做一次,并生成一个令牌,可以撤销或刷新,并需要为每个请求提供。现在
,与基本实现OAuth的,如果S1让S2获得用户信息,我可以访问这些网址:path_to_s1/API /用户/富 - path_to_s1/API /用户/条和我将获得用户foo的信息(电子邮件 - 联系人...例如),当我将在第一个url上和用户栏上时,我将在第二个url上。我只是在这里授权而不是身份证明。为了进行识别,我可以在OAuth的顶部实现一个API Key或OpenId Connect。
我的第二个问题是:推理好还是不好?
预先感谢您:)