OpenID Connect 概述
OpenID Connect 是一项在 OAuth 2.0 协议基础上构建的简单身份协议和开放式标准。 它使客户机应用程序依赖于 OpenID Connect 提供者执行的认证来验证用户身份。
OpenID Connect 使用 OAuth 2.0 进行认证和授权,然后构建用于唯一地标识用户的身份。 客户机还可以通过互操作和类似 REST 的方式从 OpenID Connect 提供者中获取关于用户的基本概要文件信息。
WebSphere® Application Server 支持 OpenID Connect 1.0 ,并在 Web 单点登录中充当客户机或依赖方角色。 WebSphere Application Server 实现 OpenID Connect 基本客户机。 有关更多信息,请参阅OpenID Connect Basic Client Implementer 's Guide 1.0 。
术语
- 访问令牌
- 用于访问受保护资源的凭证。 访问令牌是一个字符串,表示向客户机发放的授权。
- 授权端点
- OpenID 提供者上的资源,可接受来自客户机的授权请求以对用户执行认证和授权。 授权端点向基本客户机概要文件中的客户机返回权限授予(或代码)。 在隐式客户机概要文件中,授权端点向客户机返回标识令牌和访问令牌。
- 权限授予
- 用来表示用户对资源的访问权限的凭证。 此凭证由客户机用来获取访问令牌。
- 声明
- 针对实体进行断言的信息。 声明的示例包含电话号码、名字或姓氏。
- 标识令牌
- 包含已认证用户的相关声明的 JSON Web 令牌 (JWT)。
- 内省端点
- OpenID 提供者上的资源,允许持有访问令牌的客户机检索信息。 该信息用于创建访问令牌(例如用户名、授予的作用域或客户机标识)。
- OpenID 提供程序 (OP)
- 可向客户机或依赖方 (RP) 提供声明的 OAuth 2.0 授权服务器。
- 刷新令牌
- 由 OP 向客户机发放的令牌。 该令牌用于在当前访问令牌到期时获取新的访问令牌或获取更多访问令牌。
- 依赖方 (RP)
- 配置为 OpenID Connect 客户机的 WebSphere Application Server 或需要来自 OpenID 提供者 (OP) 的声明的客户机应用程序。
- 作用域
- 允许访问第三方资源的特权或许可权。
- 令牌端点
- OpenID 提供者上的资源,可接受来自客户机的权限授予(或代码),以交换访问令牌、标识令牌和刷新令牌。
WebSphere Application Server 作为 OpenID Connect 依赖方 (客户机)
可以将 WebSphere Application Server 配置为充当 OpenID Connect 依赖方,这使 WebSphere Application Server 能够依赖充当用户认证和授权的 OP 的另一个 OpenID Connect 服务器。
使用 OpenID Connect 基本客户机,将使用 OpenID Connect 提供者 (OP) 的令牌端点来处理所有令牌交换。 首先,客户机向 OP 的授权端点提交授权请求。 当带有 OP 的认证和授权成功时,客户机会接收到来自 OP 的权限授予(或代码)。 此授权代码可通过请求发送至 OP 的令牌端点。 客户机在来自令牌端点的响应时接收标识令牌、访问令牌和刷新令牌。 然后,客户机验证标识令牌并检索用户的主体集标识。 此概要文件流程适用于可在其自身与 OP 之间安全地维持客户机私钥的客户机,并且也允许客户机获取刷新令牌。
注销
HttpServletRequest.logout() Java™ 方法注销。 从受 OpenID Connect TAI 保护的 URL 调用此方法时,将清除 LtpaToken2 cookie 和 OpenID Connect cookie。 您还可以配置 OIDC TAI 以在调用此方法时撤销任何访问令牌。revokeSSOCookies() 方法和 ibm_security_logout servlet 注销。有关如何使应用程序在受 OpenID Connect TAI 保护时执行注销的信息,请参阅 对 Open Id Connect 依赖方启用程序化注销。
有关如何将 WebSphere Application Server 配置为 OpenID Connect 客户机的信息,请参阅 配置 OpenID Connect 依赖方。