OpenID Connect (OIDC) vs OAuth 2.0
OIDC(OpenID Connect)协议是基于 OAuth 2.0 协议之上的,因此它们的流程有相似之处,但也有不同之处。
OAuth2.0 实际上只是一种授权协议,不是认证协议。 在 OAuth 2.0 协议中,不管是哪一种授权模式,最终的结果都是返回令牌并赋予客户端一定的权限。OAuth 2.0 协议只解决了授权的问题,客户端只要得到了资源所有者的授权就能访问资源,但实际资源服务器和授权服务器并不知道访问资源的客户端身份。
OIDC 在 OAuth 2.0 协议的基础上增加了身份认证的功能。 主要是通过 ID Token 来传递身份信息。因此,OIDC 协议的流程中多了一些与身份认证相关的步骤,比如通过授权码换取 ID Token 和用户信息、校验 ID Token 等。 总的来说,OIDC 和 OAuth 2.0 协议的流程相似但并不完全相同,OIDC 在 OAuth 2.0 协议的基础上增加了一些与身份认证相关的步骤和机制,以实现更加安全和可靠的身份认证。
身份令牌 id_token
第三方应用程序在请求访问令牌时,授权服务器除了返回访问令牌 Access Token 之外,还需要返回包含用户身份的 ID Token。
OIDC 的规范里,详细定义了 id_token
的格式,必须为 JWT 格式。对 JWT 格式不熟悉的,可以详见 JWT 应用对接文档。
OIDC 规范中提供了一个 JWK 格式的公钥,供第三方应用程序导入,用于验签 id_token。
实际使用中,需要根据不同的 Client 端传入的不同的授权范围 scope,返回不同的 token,不在这里展开描述。
用户身份接口 user_info
OIDC 增加了一个用户信息 user_info 接口的定义,Client 端可以使用访问令牌 Access Token,请求用户信息。 user_info 接口定义了返回的参数如下
参数 | 类型 | 说明 |
---|---|---|
sub | string | 用户的唯一标识 |
name | string | 用户的名称 |
preferred_username | string | 用户名 |
string | 用户的邮箱地址 | |
email_verified | boolean | 用户邮箱是否完成验证 |
phone_number | string | 用户手机号码 |
phone_number_verified | boolean | 用户手机号码是否完成验证 |
profile | string | 用户的网络主页 URL |
picture | string | 用户的照片头像 URL |