身份云动态 | 认证和授权,都离不开的 OIDC 协议
·
身份验证存在的意义是什么?
是为了对那些有安全需求的特定资源进行访问控制,只让某些特定的主体(个人、公司、甚至是一段代码)对其执行某些特定的操作(查看、修改等)。因此,对于想要访问资源的主体,需要按照顺序达成如下两个条件:
1.认证(Authentication):知道 ta 究竟是谁
2.授权(Authorization):知道 ta 有没有权限对资源执行试图执行的操作
这其中,实际上存在着一个隐含的假设:
资源的所有权并不在用户手中,而是在外部的管理者手中,因此用户访问资源时才需要首先获取权限。
然而在当今的互联网中,很大一部分信息都是用户产生的,用户理应拥有自己资源的完全控制权限。
在这种场景之下,「授权」的概念依旧存在,只不过被授权的主体不再是用户,而是「想要访问用户资源的第三者」,而颁发权限的主体也不再是管理员,而是用户自己。
作为标准身份协议之一的 OIDC 正是为此种场景而生。
OIDC 全称是 OpenID Connect,是一个基于 OAuth 2.0 的认证 + 授权(OAuth 2.0 提供的能力)协议。
接下来的一周,Authing 技术博客 | 身份云动态将深度剖析 OIDC,你可以了解到:
除了 OIDC,还有 SAML、AD/LDAP、WS-Fed、JWT 等国际标准协议
......
更多技术干货,在 Authing 技术博客搜索“身份云动态”,将身份云知识一网打尽。
Authing 是一款以开发者为中心的全场景身份云产品,集成了所有主流身份认证协议,为企业和开发者提供完善安全的用户认证和访问管理服务
更多推荐
0
0- 0
已为社区贡献1303条内容
所有评论(0)