OpenID Connect è un profilo di OAuth2 ... che definisce un'architettura che consente a una persona di autorizzare un provider di identità a rilasciare determinate attestazioni utente a un client (sito Web / applicazione mobile).
OAuth2 offre il Concessione delle credenziali della password del proprietario della risorsa, che è giustamente calunniata dagli esperti IAM come "Il diavolo".
Un modello comune per OpenID Connect API è costituito da tre passaggi:
1) Ottieni un codice
2) Ottieni token come access_token
, refresh_token
e id_token
3) Ottieni informazioni utente che contengono attestazioni come nome utente, email, ecc. Lo schema per id_token, che è un JWT, è definito nell'ambito di OpenID Connect, così come molti altri dettagli.
Un altro motivo per utilizzare OpenID Connect è che esiste una soluzione sicura per l'autenticazione centralizzata per il software mobile (almeno IOS e Android). L'attuale best practice definita da Google consiste nell'utilizzare nuove funzionalità di sicurezza che impediscono a un'applicazione mobile di vedere cookie o credenziali in una visualizzazione web. Google ha pubblicato le librerie AppAuth IOS e Android perché davvero non vogliono che tu trapeli le credenziali di Google! Al momento della stesura di questo articolo, esistono diversi provider OpenID (noti anche come IDP ...) che supportano il software Google OpenID Connect AppAuth, tra cui: Google, OKTA, Ping e il mio prodotto Gluu.
Vedi Inoltre:
- OAuth 2.0 per app native draft-wdenniss-oauth-native-apps-02
- AppAuth per IOS
- AppAuth per Android