使用OAuth2时总会出现的大安全问题似乎集中在技术上不是身份验证。但是,如果您是标识提供程序的所有者和正在访问的资源,这是否可以完成身份验证,从而无需在OpenID Connect上实现解决方案?
答案 0 :(得分:1)
在OAuth中,只有一个传递的令牌(访问令牌)对客户端/ RP不透明。访问令牌表示由最终用户提供的功能,但它没有说明该用户的任何信息:不是用户是谁,用户是否以及如何进行身份验证(因为所述令牌不包含任何信息)。
您可以提出的任何内容都会通过在(或不同的)令牌中添加上述信息来扩展OAuth 2.0,从而使其不再对RP不透明 - 和/或定义端点可以获得有关用户的信息。但是,这个扩展正是OpenID Connect标准化的,所以偏离它是没有多大意义的。