OpenID和OAuth的区别

最新推荐文章于 2023-01-30 17:58:02 发布
最新推荐文章于 2023-01-30 17:58:02 发布
阅读量644 收藏
点赞数 1
分类专栏: HTTP
作者:钱小钱
链接:http://www.zhihu.com/question/19628327/answer/23291315
来源:知乎
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

OAuth学习笔记OpenID学习笔记都说了可以用来认证身份,但是他们之间到底有哪些不同,哪些情况应该用OAuth,哪些情况应该用OpenID呢?下面就一起来看下他们之间的区别。


简短的说,OAuth关注的是authorization;而OpenID侧重的是authentication。从表面上看,这两个英文单词很容易混淆,但实际上,它们的含义有本质的区别:

  • authorization: n. 授权,认可;批准,委任
  • authentication: n. 证明;鉴定;证实

OAuth关注的是授权,即:“用户能做什么”;而OpenID关注的是证明,即:“用户是谁”。下面就分别来说两者的功能。


OpenID

  1. 用户希望访问其在http://example.com的账户
  2. http://example.com (在OpenID的黑话里面被称为“Relying Party”) 提示用户输入他/她/它的OpenID
  3. 用户给出了他的OpenID,比如说”user.myopenid.com
  4. http://example.com 跳转到了用户的OpenID提供商“mypopenid.com”
  5. 用户在”myopenid.com”(OpenID provider)提示的界面上输入用户名密码登录
  6. “myopenid.com” (OpenID provider) 问用户是否要登录到http://example.com
  7. 用户同意后,”myopenid.com” (OpenID provider) 跳转回http://example.com
  8. http://example.com 允许用户访问其帐号

OAuth

  1. 用户在使用http://example.com时希望从mycontacts.com导入他的联系人
  2. http://example.com (在OAuth的黑话里面叫“Consumer”)把用户送往mycontacts.com (黑话是“Service Provider”)
  3. 用户在mycontacts.com 登录(可能也可能不用了他的OpenID)
  4. mycontacts.com问用户是不是希望授权http://example.com访问他在mycontact.com的联系人
  5. 用户确定
  6. mycontacts.com 把用户送回http://example.com
  7. http://example.com 从mycontacts.com拿到联系人
  8. http://example.com 告诉用户导入成功

OpenID是用来验证的,就是说可以用一个url来唯一表明身份(不用挨个记每个网站的用户密码)。OAuth是用来授权的(俺可以授权一个网站访问俺在另外一个网站的数据,而俺不用把俺的密码给第一个网站。

很多人现在错误的把OAuth当做OpenID使用。但是其实也不会照成什么影响。

浪漫鼠
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OpenIdOAuth协议详解
01-29
OpenID是一个开放式标准,它主要描述了在用户在分布式系统的认证方式以及提供了一套额外的服务系统允许用户方便...OAuth协议最初的出现是为了解决不同网站和其他互联网服务商访问受保护的资源这个普遍性问题而设计的。
OAuthOpenID区别
weixin_34267123的博客
06-28 203
前面两篇文章(OAuthOpenID)都说了可以用来认证身份,但是他们之间到底有哪些不同,哪些情况应该用OAuth,哪些情况应该用OpenID呢?下面就一起来看下他们之间的区别。 简短的说,OAuth关注的是authorization;而OpenID侧重的是authentication。从表面上看,这两个英文单词很容易混淆,但实际上,它们的含义有本质的区别: authorization:...
理解OpenIDOAuth区别
Allec Cui的博客
03-30 1万+
      在项目开发中,我们经常说授权认证,经常把他们放到一起去描述,那两者在本质上是有区别的,OpenIDOAuth就是我们说的认证和授权。OpenID:Authentication 认证OAuth :Authorization   授权       如今越来越多的网站,以及一些应用程序都开始使用第三方社交平台账户登录,那这里就会涉及到安全性的问题,隐私的问题,你不能随意来获取我的资料,当然...
OAuthOpenID区别
weixin_34068198的博客
11-12 192
OAuthOpenID都是开放的Web第三方登录标准,都使用了HTTP重定向的方式,也都可以集中管理登录有效期。 它们不同于,OpenID的目标在于使你只用一次登录动作就可以登录多个网站。当你想要登录一个使用了OpenID服务的网站时,它会将你重定向至提供OpenID服务的网站,如果你已经登录过,会自动重定向回来,此时你已经是登录状态。 OAuth的目...
OpenIDOAuth 有什么区别
草根上的须子
08-17 1741
OpenID是Authentication OAuth是Authorization 前者是网站对用户进行认证,让网站知道“你是你所声称的URL的属主” 后者其实并不包括认证,只不过“只有认证成功的人才能进行授权”,结果类似于“认证+授权”了。OAuth相当于:A网站给B网站一个令牌,然后告诉B网站说根据这个令牌你可以获取到某用户在A网站上允许你访问的所有信息 如果A网站需要用B网站的用户系统进行登...
OpenID及其原理介绍,OAuthOpenID区别
热门推荐
xcjing的博客
06-28 1万+
OpenID及其原理介绍 昨天和朋友谈到统一身份验证时,才知道这个OpenID的东东,汗一个先... 这是一套不别于微软的Passport(或者其他厂商的一些所谓通行证技术)的开源的解决方案,支持自己架设验证服务器。我想对于企业内部大部分应用系统实现统一登录是会有些帮助的。它的主要原理是 1. 你首先得拥有一个合法的OpenID帐号,也就是说需要在一个验证服务器申请了一个帐号。 2
转:浅析作用于web2.0安全防范的OpenIDOauth机制.pdf
04-23
- **提升应用安全**:对于开发者来说,采用OpenIDOAuth可以显著简化身份验证和授权流程,避免了自行开发认证系统的复杂性和潜在安全漏洞。 #### 四、结论 综上所述,Web2.0的安全威胁主要来源于授权访问机制不...
OpenID & OAuth
06-11
OpenIDOAuth是两种广泛使用的身份验证和授权协议,它们在网络身份管理和权限控制方面起着重要作用。OpenID允许用户使用单一标识(通常是URI或URL)在多个网站上进行身份验证,实现了“一处注册,处处通行”的理念...
OpenIDOAuth协议详解
03-31
OpenIDOAuth是互联网上两种重要的身份验证和授权协议,它们在确保用户数据安全和隐私保护方面发挥着关键作用。本文将对这两种协议进行详细解释。 **OpenID协议** OpenID是一个分散式身份验证协议,它允许用户...
授权服务器:Spring Boot OAuth 2.0和OpenID Connect身份提供者授权服务器
01-29
授权服务器兼容OAuth 2.0和OpenID Connect(OIDC)的授权服务器,仅用于演示目的,可用作OAuth2 / OIDC研讨会的一部分。目标此授权服务器应... 作为开源免费提供支持学习OAuth2 / OpenID Connect的努力(自学或作为...
passport-openidconnect, Passport 和 node.js的OpenID连接认证策略.zip
10-10
passport-openidconnect, Passport 和 node.js的OpenID连接认证策略 passport连接Passport 使用 OpenID连接的认证策略。这个模块允许你在 node.js 应用程序中使用OpenID连接进行身份验证。 通过插入到 Passport 中,OpenID连接认证可以很容易地集成到支持连接的
passport-openid
05-14
该派生向authenticate函数添加了一个附加的options参数,您可以在其中设置returnUrl和realm选项。 这对于多域设置非常有用。 护照号码 使用进行身份验证的策略。 该模块使您可以在Node.js应用程序中使用OpenID进行身份验证。 通过插入Passport,OpenID身份验证可以轻松,毫不费力地集成到任何支持风格中间件(包括应用程序或框架中。 安装 $ npm install passport-openid 用法 配置策略 OpenID身份验证策略使用OpenID标识符对用户进行身份验证。 该策略要求validate回调,该回调接受此标识符并done向用户的调用。 此外,可以提供选项以指定返回URL和领域。 passport.use(new OpenIDStrategy({ returnURL: 'http://localhost:3000/aut
用通俗的例子解释OAuthOpenID区别【原】
weixin_34269583的博客
03-14 377
什么是OAuth(Wiki) 什么是OpenID(Wiki) 详细的定义可以看wiki,下面举个例子说说我的理解 现在很多网站都可以用第三方的账号登陆,比如,现在我要登录淘宝买东西,而如果我没有淘宝的账号,我也可以用微博的账号登录,这个微博账号就是第三方账号了。 OpenID强调验证 authentication,而OAuth强调授权 authorization。 验证就是说“...
【授权与认证】OAuth 2.0 和 OIDC 的异同点
叮当猫的喵i
01-30 2906
OIDC 协议定义的名词和 OAuth 2.0 协议定义的稍微有些出入:OpenID Provider ,简称 OP :相当于 OAuth 2.0 中的授权服务器,除了负责颁发 Access Token ,还会颁发 ID Token。例如 IDaaS 就是一个 OP。Relying Party ,简称 RP :代指 OAuth 2.0 中的客户端。End User ,简称 EU :即用户。最后, OIDC 的授权流程与 OAuth 2.0 是一样的,
【笔记】浅谈OAuth2 accessToken和OIDC idToken的理解和使用场景
LeoSong121的博客
04-02 1万+
前言 OAuth2 官网:https://oauth.net/2/ OIDC:Open ID Connect 官网:http://openid.net/connect/ What is OpenID Connect? OpenID Connect 1.0 is a simple identity layer on top of the OAuth 2.0 protocol. It allows Clients to verify the identity of the End-User bas
[OIDC&&Oauth2 ] 理解Oauth2授权框架
zh_coder
01-14 7615
一.  什么是Oauth2授权框架?   Oauth2是一种通用的开放式的面向个人(即用户)网络授权方案,它的前身是Oauth1。但是由于Oauth1设计复杂,易用性差,所以Oauth2与Oauth1并不兼容。 二. Oauth2.0的应用场景        我们拿csdn登录来举个栗子,来看csdn的登录页面下方:                  其
认证与授权——单点登录协议盘点:OpenID vs OAuth2 vs SAML
weixin_34168880的博客
07-30 1371
无论是Web端还是移动端,现在第三方应用账户登录已经成为了标配,任意打开个网站都可以看到,QQ/微信账号登录的字样。使用第三方账户的登录的过程,既要限制用户身份只让有效注册用户才能登录,还要根据注册用户的不同身份来控制能浏览的内容,这就需要认证和授权 相关文章链接: OAuth2.0 协议入门指南 Ope...
OpenID流程概述及其与OAuth区别
星空漫野
11-19 1万+
目前OpenID在互联网上已经讨论的比较充分,也有很多中文资料。其与OAuth区别在网络上也有很多介绍。但是,我还是决定将使用OpenID登录的流程图画下来。并初步分析一下OpenIDOAuth之间的区别OAuthOpenID区别在于应用场景的区别OAuth用于授权的,是一套授权(Authorization)协议;OpenID是用来认证的,是一套认证(Authentication)协议。两者是互补的。请允许我还是举那个老外的经典例子:“OpenID: 1.用户希望访问其在example.com
OpenID Connect和OAuth
最新发布
07-28
OpenID Connect(OIDC)和OAuth是两个相关但不同的协议。 OAuth是一个授权协议,用于授权第三方应用代表用户访问受保护的资源。它允许用户向第三方应用授予有限的访问权限,而无需共享其凭据(如用户名和密码)。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值