OpenId 是否支持在规范中的任何位置进行两种方式的令牌交换?特别是允许双方以某种方式相互共享令牌,以便他们可以相互共享服务?
我有 looked through the spec,但看不到任何详细说明此类场景的内容。
我正在开发的一个应用程序已将自身与受信任的 OpenId 提供程序集成,我们将调用 Acme。
我们还想向 Acme 提供访问令牌和刷新令牌,因为他们也想访问我们服务的功能。
在我们从 Acme 获取令牌的交互过程中,我们希望向它们公开令牌似乎很自然。
这是否属于规范的一部分?或者,唯一的办法就是自己成为一个完整的身份提供者?
【问题讨论】:
标签: oauth-2.0 openid openid-connect
您可以将令牌作为请求对象的一部分包含在内,请参阅:http://openid.net/specs/openid-connect-core-1_0.html#RequestObject,但这取决于与 Acme 的成对协议,因为他们需要处理非标准化的请求对象内容。
最好的方法是自己成为提供者,这样您就可以利用各种流程的所有功能,而无需依赖成对协议和随附的实施。
【讨论】:
听起来您在某种程度上混淆了 OpenID Connect 和普通 OAuth2。
OpenID Connect 是一种用于向客户端应用程序识别最终用户的规范,基于他们在 OpenID 提供者处的身份验证。从您的问题中不清楚最终用户是否甚至是图片的一部分,因此即使是普通的 OAuth2 也可能不相关(除非您只是使用“客户端凭据”授权)。
这两个规范都没有说明关于相互交换代币的任何内容。如果您更详细地描述您预期的交互以及您希望使用哪些赠款,这可能会有所帮助。谁将向您的身份提供者进行身份验证,什么是典型的客户端应用程序?
【讨论】: