码迷,mamicode.com
首页 > Web开发 > 详细

.NET开源OpenID和OAuth解决方案Thinktecture IdentityServer

时间:2014-08-17 22:33:23      阅读:948      评论:0      收藏:0      [点我收藏+]

标签:blog   http   使用   io   ar   2014   问题   html   

OpenID解决跨站点的认证问题,OAuth解决跨站点的授权问题。认证和授权是密不可分的。而OpenID和OAuth这两套协议出自两个不同的组织,协议上有相似和重合的之处,所以想将二者整合有些难度。好在OpenID Connect作为OpenID的下一版本,在OAuth 2.0的协议基础上进行扩展,很好的解决了认证和授权的统一,给开发者带来的便利。Thinktecture IdentityServer v3 是一个.NET 平台上开源的OpenID Connect 提供者 和 OAuth2 验证服务器。

IdentityServer 的安全模型基于两个基本原语: 客户端和作用域:

客户端

客户端是请求访问IdentityServer或身份令牌的软件。客户可以是不同类型的应用:桌面或移动的,基于浏览器的或基于服务器的应用。OpenID 连接和 OAuth2 描述 (也称为流程)不同客户端如何请求令牌模式。检查的规格为有关流程的详细信息。

默认情况下,客户端可以请求在 IdentityServer-中定义的任何作用域,但您可以限制每个客户端可以请求的作用域。

作用域

作用域是一个资源 (通常也称为 Web API) 的标识符。你可以如范围被称为"日历"为您创建日历 API — — 或"calendar.readonly"如果你想要将您的日历的 API 分割成子"地区"-在这种情况下只读访问权限。

如果允许,此作用域将会包括作为访问令牌中的索赔与客户端然后可以请求如"日历"范围-的标记。然后可以确定范围是目前验证的访问令牌时日历 API (或资源)。

根据流程和配置,请求作用域将显示给用户之前颁发的令牌。这使用户有机会来允许或拒绝访问该服务。这就被所谓的同意。

OpenID 连接的作用域有点特殊。它们定义一个可以要求用户的身份信息和用户信息终结点。每一个 OpenID 连接作用域有关联的声明,如"Profile" 作用域映射到的名字、 姓氏、 性别、 个人资料图片和更多。

IdentityServer 既支持"资源"的作用域,也支持 OpenID 连接作用域。

 

理解OAuth 2.0

Thinktecture IdentityServer and CodeFluent Entities

基于Token的认证和基于声明的标识

.NET开源OpenID和OAuth解决方案Thinktecture IdentityServer,布布扣,bubuko.com

.NET开源OpenID和OAuth解决方案Thinktecture IdentityServer

标签:blog   http   使用   io   ar   2014   问题   html   

原文地址:http://www.cnblogs.com/shanyou/p/3918292.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!