Oauth2可以用于授权 and 验证?
据我了解,Oauth2授权用于从提供商(例如 Facebook、Google、Twitter 等)访问用户信息的消费者应用程序。
但是 Oauth2 可以用来吗认证用户?例如,假设我们有一个由本机移动前端和后端 api 组成的应用程序 - 可以使用 Oauth2 来验证和维护验证在上面授权来自 Facebook、Google、Twitter 等提供商?
如果是,怎么办?例如,我们是否持久化身份验证令牌并将其用作会话令牌?或者是否需要 OpenId Connect验证用户通过第三方提供商访问“消费者”应用程序?
符合规范的 OAuth 2.0 不能用于用户身份验证。话虽如此,我们可以开发 OAuth 2.0 的扩展来允许用户身份验证。一些提供商,例如Facebook 已经做到了这一点。
但 OAuth 2.0 还有一个允许用户身份验证的标准化扩展,称为 OpenID Connect。如果您想通过第三方提供商在消费者应用程序中验证用户身份,则确实需要 OpenID Connect。标准化方式。 OpenID Connect 的令牌格式是 JWT,令牌本身称为id_token。您可以使用id_token作为会话令牌。
有关 OAuth 2.0 和用户身份验证的详细文章,请参阅http://oauth.net/articles/authentication/ http://oauth.net/articles/authentication/
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
