OpenID Connect ti fornirà un token di accesso più un token id. Il token id è un JWT e contiene informazioni sull'utente autenticato. È firmato dal provider di identità e può essere letto e verificato senza accedere al provider di identità.

Inoltre, OpenID connect standardizza un paio di cose che oauth2 lascia alla scelta. ad esempio ambiti, rilevamento degli endpoint e registrazione dinamica dei client.

Ciò semplifica la scrittura del codice che consente all'utente di scegliere tra più provider di identità.

OAuth fornisce solo e dovrebbe fornire solo l'autorizzazione utilizzando un token di accesso. OpenID Connect è basato su OAuth 2 per fornire le informazioni di autenticazione dell'utente. Tuttavia, non fornirà un'implementazione più solida di OAuth (poiché utilizza OAuth e aggiunge alcune interazioni extra con un provider OpenID).

OpenID Connect 1.0 è un semplice livello di identità in cima il protocollo OAuth 2.0 [RFC6749]. Consente ai Clienti di verificare l'identità dell'Utente finale in base all'autenticazione eseguita da un Server di autorizzazione, nonché di ottenere informazioni di base sul profilo dell'Utente finale in modo interoperabile e simile a REST. OpenID Connect Core 1.0 - bozza 17

OpenID connect fornisce un modo "standard" per ottenere l'identità dell'utente. Se utilizzi OAuth e l'API, dovresti adattare la tua richiesta per ciascuna risorsa, che potrebbe non fornire sempre le stesse informazioni o potrebbe cambiare nel tempo. E concettualmente, utilizzi OAuth per poter utilizzare un'API, non per autenticare un utente.

Come sfondo, OAuth 2.0 Authorization Framework [RFC6749] e OAuth 2.0 Bearer Token Usage [RFC6750] Le specifiche forniscono una struttura generale per le applicazioni di terze parti per ottenere e utilizzare un accesso limitato alle risorse HTTP. Definiscono i meccanismi per ottenere e utilizzare i token di accesso per accedere alle risorse ma non definiscono metodi standard per fornire informazioni sull'identità. In particolare, senza la profilazione di OAuth 2.0, non è in grado di fornire informazioni sull'autenticazione di un utente finale. OpenID Connect Core 1.0 - bozza 17

Nota che OpenID connect fornisce un id_token con alcune informazioni sull'utente. Tuttavia, se vuoi l'intero set di informazioni, hai ancora bisogno di access_token per richiedere al provider OpenID di ottenere userinfo (cosa che mi ha confuso la prima volta che l'ho visto). Ciò mostra che la richiesta di informazioni utente da un'API o dal provider OpenID utilizza quasi lo stesso metodo. Vedere 5.3.1. richiesta info utente nella bozza.

OAuth è un protocollo di autorizzazione che fornisce un modo per fornire l'autorizzazione ad accedere a una risorsa protetta. Un sottoprodotto del processo di autorizzazione è l'autenticazione dell'utente.

Tecnicamente, OAuth non è tenuta a fornire alcuna informazione sull'utente. Ciò che fornisce è una convalida che l'utente ha dato l'autorizzazione all'applicazione per accedere ad alcuni dati. Questo è regolato dall'ambito della concessione dell'autorizzazione.

OpenID Connect fornisce un modo per l'applicazione per recuperare le informazioni sull'utente autenticato. Ancora più importante, fornisce un livello di garanzia che le informazioni sono valide (per quanto riguarda il server di autorizzazione comunque). Questo può quindi essere utilizzato per facilitare la federazione delle identità.

In passato, la federazione veniva ottenuta con OAuth concedendo un ambito che consentiva l'accesso alle informazioni sull'identità dell'utente. OpenID Connect standardizza tale ambito.

OpenID Connect è un profilo di OAuth2 ... che definisce un'architettura che consente a una persona di autorizzare un provider di identità a rilasciare determinate attestazioni utente a un client (sito Web / applicazione mobile).

OAuth2 offre il Concessione delle credenziali della password del proprietario della risorsa, che è giustamente calunniata dagli esperti IAM come "Il diavolo".

Un modello comune per OpenID Connect API è costituito da tre passaggi:
1) Ottieni un codice
2) Ottieni token come access_token , refresh_token e id_token
3) Ottieni informazioni utente che contengono attestazioni come nome utente, email, ecc. Lo schema per id_token, che è un JWT, è definito nell'ambito di OpenID Connect, così come molti altri dettagli.

Un altro motivo per utilizzare OpenID Connect è che esiste una soluzione sicura per l'autenticazione centralizzata per il software mobile (almeno IOS e Android). L'attuale best practice definita da Google consiste nell'utilizzare nuove funzionalità di sicurezza che impediscono a un'applicazione mobile di vedere cookie o credenziali in una visualizzazione web. Google ha pubblicato le librerie AppAuth IOS e Android perché davvero non vogliono che tu trapeli le credenziali di Google! Al momento della stesura di questo articolo, esistono diversi provider OpenID (noti anche come IDP ...) che supportano il software Google OpenID Connect AppAuth, tra cui: Google, OKTA, Ping e il mio prodotto Gluu.

Vedi Inoltre:

• OAuth 2.0 per app native draft-wdenniss-oauth-native-apps-02
• AppAuth per IOS
• AppAuth per Android

L'utilizzo di OAuth come metodo di autenticazione non è consigliato, è esplicitamente progettato come metodo di autorizzazione delegato.

Facebook utilizzava OAuth come metodo di autenticazione, ma una persona intraprendente ha scoperto come rubare il access_token da Facebook - post di blog completo

OpenID Connect rende molto più difficile rubare i token di accesso attraverso un tale meccanismo.

Open id connect si basa su OAuth e quindi è più robusto. OAuth è il protocollo che viene utilizzato solo per l'autorizzazione e open id connect è molto simile a OAuth ma combina anche la funzionalità di OAuth. Puoi avviare la comunicazione tra i tuoi RP e IP utilizzando questo protocollo e ci sono vari loop hole nel protocollo OAuth, ecco perché è meglio usare Open Id Connect.