Von meinem den Unterschied von OAuth zu OpenID Connect Verständnis ist, dass, wenn die Client Treffer/Token-Endpunkt von OAuth, OAuth mit folgendem antwortet:Wie authentifiziert openID Connect einen Benutzer wirklich?
HTTP/1.1 200 OK
Content-Type: application/json
Cache-Control: no-store
Pragma: no-cache
{
"access_token": "SlAV32hkKG",
"token_type": "Bearer",
"refresh_token": "8xLOxBtZp8",
"expires_in": 3600,
"id_token": "e134j23jk432j"
}
ich aus der Lektüre der Dokumentation unter dem Eindruck war, dass die ID-Token enthalten ein Authentifizierungstyp, der angibt, ob der Benutzer die Autorisierung durch Eingabe eines Kennworts bestanden hat. Dies würde daher sicherstellen, dass der Benutzer sich authentifiziert und nicht nur autorisiert hat. Mir ist nur nicht klar, wie das Token dazu verwendet wird, dies zu verifizieren.
Es ist mein Verständnis der id_token ist nicht undurchsichtig für den Client, gibt es also eine Standard-Art, in der Informationen vom Client interpretiert wird?
Weiter, die Dokumentation, die ich unter http://openid.net/specs/oauth-v2-multiple-response-types-1_0.html unter 5. Definitions of Multiple-Valued Response Type Combinations
fand, zeigt eine Beispielanforderung für id_token gemacht/autorisieren. Sollte id_token nicht bei/token erhalten werden?
The amr Anspruch (Authentifizierungsmethoden Referenzen) verwenden können, ist optional ich glaube - so können Sie, ob Passwort Informationen nicht erhalten werden können, nicht benutzt. Wie auch immer, ich bin nicht sicher, was Sie damit meinen, "verifizieren Sie, dass der Benutzer sich authentifiziert und nicht nur autorisiert hat". Ob ein Passwort eingegeben wurde oder nicht, sie wurden vom IdP authentifiziert. Nichts wird autorisiert – iandayman