OpenID 连接 是关于身份验证(单点登录) oauth2 是关于授权的(但您仍然可以将其用于身份验证),尽管它容易受到某种混淆代理攻击。
因此问题是:
spring @EnableOAuth2Sso 是否命名错误或注释确实不符合 OpenID 连接规范?
如果可以的话,我希望它被称为@EnableOpenIdConnectSso
【问题讨论】:
标签: java spring-boot spring-security oauth-2.0 openid-connect
不,@EnableOAuth2Sso 不支持 OpenID Connect。话虽如此,我认为即使它确实支持 OIDC,这个名称也是有意义的,因为它可能同时支持两者。换句话说,我希望 @EnableOpenIdConnectSso 仅支持 OIDC,而 @EnableOAuth2Sso,更通用的名称,可以支持 OAuth 2.0 自定义流程以及 OIDC 标准。
虽然您没有问这个问题,但我实际上建议使用 Spring Security's built-in support 而不是现在已弃用的插件项目。 (该注释仅存在于已弃用的项目中。)内置支持确实支持 OIDC,并且会在存在 openid 范围时自动使用它。
【讨论】: