我想使用资源所有者凭据(密码)授予类型中的访问令牌获取用户属性。我想使用 OpenID Connect,但规范仅讨论基于浏览器的授权。即授权码和隐式。
我试图理解为什么规范不支持它。是因为存在安全风险吗?还是其他原因?
您的服务有权访问用户的登录标识符和密码的授权类型违背了 OpenID Connect 的目的,在 OpenID Connect 中,您应该能够对用户进行身份验证和识别,而无需用户信任(或意外地向您提供)其凭据。
RFC 6749 第 4.3 节中表达了这种授权类型的一些安全问题。它明确指出(强调我的):
授权服务器在启用此授权类型时应特别小心,并且仅在其他流程不可行时才允许它。
相关:OpenID Connect 是否支持资源所有者密码凭证授予?
| 归档时间: |
|
| 查看次数: |
858 次 |
| 最近记录: |