我见过的关于OpenID Connect的所有问题都是关于使用登录名和密码。我有一些应用程序使用客户端证书在服务器上进行身份验证。这种身份验证是否可以通过openid connect实现?
答案 0 :(得分:3)
实际上,OpenID Connect 不指定用户如何通过提供商进行身份验证。相反,它指定了一种机制,用于在提供者和依赖方之间传递有关经过身份验证的用户的信息。
提供商当然可以选择要求客户端证书对其用户进行身份验证。 OpenID Connect规范本身没有任何内容可以禁止它(在这种意义上它与SAML相同)。
答案 1 :(得分:2)
RFC 7521提供了一种使用断言进行客户端身份验证的方法。
还有两个其他RFC允许您使用加密方法对授权服务器进行身份验证。 授权服务器使用证书(或更确切地说是它们包含的公钥)来验证客户端断言:
还有an ongoing specification draft尝试为OAuth实施X.509 TLS身份验证。