我想在资源所有者凭据(密码)授权类型中获取具有访问令牌的用户属性。我想使用OpenID Connect,但规范只讨论基于浏览器的授权。即授权码和隐含。
我试图理解规范为什么不支持它。这是因为存在安全隐患吗?或其他一些原因?
答案 0 :(得分:4)
您的服务可以访问用户的登录标识符和密码的授权类型会破坏OpenID Connect的目的,您可以在其中验证和识别用户用户必须信任(或意外提供)您的凭证。
此授权类型的一些安全问题在RFC 6749 section 4.3中表示。它明确指出(强调我的):
授权服务器应特别小心 启用此授权类型,仅在其他流不支持时才允许 活
相关:Does OpenID Connect support the Resource Owner Password Credentials grant?
答案 1 :(得分:0)
由于OpenID Connect是OAuth 2.0规范之上的专业化,因此可以完成Oauth 2.0中的所有授权流程,包括资源所有者密码授予。不推荐,但你可以做到。您还必须检查以确保您的OP支持它。我看过的那些,但有可能不是所有人都这样做。