OpenID Connect (OIDC) 和 Lightweight Directory Access Protocol (LDAP)

最新推荐文章于 2025-03-04 15:11:42 发布
最新推荐文章于 2025-03-04 15:11:42 发布
阅读量690 收藏 20
点赞数 13
文章标签: 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37106501/article/details/143329251
版权

OpenID Connect (OIDC) 和 Lightweight Directory Access Protocol (LDAP) 都是用于用户身份验证和授权的技术,但它们之间存在一些重要的区别。下面分别介绍这两种技术的特点及其应用场景。

OpenID Connect (OIDC)

OpenID Connect 是一种基于 OAuth 2.0 的身份验证层,它允许应用程序验证最终用户的身份,并获取基本的个人资料信息。OIDC 建立在 OAuth 2.0 的基础上,增加了身份验证功能。

特点
  1. OAuth 2.0 的扩展:OIDC 基于 OAuth 2.0 协议,提供了标准的身份验证流程。
  2. 身份验证和授权分离:OIDC 分离了身份验证和授权的功能,使得应用程序可以专注于业务逻辑,而身份验证由专门的身份提供商处理。
  3. 支持多种认证方式:OIDC 支持多种认证方式,包括密码认证、社交媒体登录(如 Facebook、Google)、企业级身份提供商(如 Okta、Keycloak)等。
  4. 令牌传递:OIDC 使用访问令牌(access token)来传递用户信息,同时还可以传递 ID 令牌(ID token),后者包含了用户的标识信息。
应用场景
  • 现代 Web 应用:OIDC 适合用于现代 Web 应用程序和服务,特别是那些需要与其他系统集成的应用。
  • 多因素认证 (MFA):OIDC 支持多因素认证,可以增强系统的安全性。
  • 单点登录 (SSO):OIDC 支持单点登录,用户只需要在一个地方登录就可以访问多个系统。

Lightweight Directory Access Protocol (LDAP)

LDAP 是一种用于访问和维护分布式目录信息的服务协议,它允许应用程序查询和更新目录中的信息。LDAP 通常用于企业内部的身份管理和访问控制。

特点
  1. 目录服务:LDAP 是一种目录服务协议,主要用于存储和检索用户信息。
  2. 中央化管理:LDAP 提供了一种中央化的用户管理方式,可以集中管理企业的用户信息。
  3. 高效查询:LDAP 优化了目录信息的查询速度,适合大规模的企业环境。
  4. 与现有系统的集成:LDAP 通常与 Active Directory、OpenLDAP 等目录服务集成,广泛应用于企业内部。
应用场景
  • 企业内部系统:LDAP 适合用于企业内部的各种系统,如员工管理系统、权限管理系统等。
  • 集成现有系统:LDAP 可以与现有的企业级系统(如 Active Directory)集成,方便管理用户信息。
  • 权限管理:LDAP 可以用于权限管理,如文件系统权限、应用程序权限等。

对比

1. 适用范围
  • OIDC 更适合现代互联网应用和服务,特别是需要与其他系统集成的应用。
  • LDAP 主要用于企业内部系统,尤其是那些需要集中管理用户信息的场景。
2. 功能侧重
  • OIDC 注重身份验证和授权分离,支持多种认证方式,可以传递用户信息。
  • LDAP 侧重于目录信息的管理,优化了查询速度,适合大规模的企业环境。
3. 集成方式
  • OIDC 通常通过身份提供商(如 Keycloak、Okta)进行集成。
  • LDAP 通常与现有的目录服务(如 Active Directory、OpenLDAP)集成。

Jenkins 中的使用

在 Jenkins 中,你可以根据实际需求选择使用 OIDC 或 LDAP 进行用户认证和授权:

使用 OIDC

如果你的 Jenkins 环境需要与支持 OIDC 的身份提供商集成,可以配置 Jenkins 使用 OIDC 进行用户认证。例如:

jenkins:
  security:
    securityRealm:
      openIdConnect:
        kubesphereCoreApi: "http://ks-apiserver:30880"
        jenkinsURL: "http://devops-jenkins:30180"
使用 LDAP

如果你的企业环境中已经有 LDAP 服务器(如 Active Directory 或 OpenLDAP),可以配置 Jenkins 使用 LDAP 进行用户认证。例如:

jenkins:
  security:
    securityRealm:
      ldap:
        server: "ldap://ldap.example.com"
        managerDN: "cn=admin,dc=example,dc=com"
        managerPassword: "password"
        searchBase: "ou=people,dc=example,dc=com"
        searchFilter: "(uid={0})"

总结

选择使用 OIDC 还是 LDAP 取决于你的具体需求。OIDC 更适合现代互联网应用和服务,而 LDAP 更适合企业内部系统。如果你需要更详细的配置或遇到具体的技术问题,请随时告知。

MetaverseMan
关注
[认证授权] 4.OIDCOpenId Connect)身份认证授权(核心部分)
weixin_34268753的博客
05-30 1997
1 什么是OIDC? 看一下官方的介绍(http://openid.net/connect/): OpenID Connect 1.0 is a simple identity layer on top of the OAuth 2.0 protocol. It allows Clients to verify the identity of the End-User based on t...
什么是Keycloak?怎么样使用Keycloak实现登录权限验证?
m0_63144319的博客
05-14 6479
在下面的配置文件中需要主要需要配置的是realm(你创建的realm的名称),resource(Clients 的id名称), credentials secret(你的Clients的密钥),其他都是固定的,可以照搬我下面的配置文件。根据网上博主的分享官方的文档,上述操作是可以实现的,但是在我创建之后发现报错,只能访问公共页面,登录之后admin连user.html都不能访问,报错就是权限的问题。来访问admin页面,并验证权限,现在是user角色登录,所以登录权限不够(报403错误,权限不足)
OIDC
12-30 1407
OIDC (OpenId Connect) OIDC认证中心通过发现文档向外公布各个终结点的位置,客户端通过请求发现文档来获取各个终结点的实际路径 要实现OIDC,就是根据协议规范实现下面的终结点 Disvovery :发现文档 Authorise:授权 Token:令牌获取 DeviceAuthorization:设备授权 Instrospection:验证Token是否正确, Revocation:令牌撤销 EndSession:登录注销 CheckSession:返回是否已经注销 UserInfo:
OpenID ConnectOIDC)协议
最新发布
ttyy1112的专栏
03-04 405
以下是OpenID ConnectOIDC)协议的详细介绍时序图。OIDC是基于OAuth 2.0的身份验证协议,用于实现跨系统的单点登录(SSO)。
【授权与认证】Dex 与 LDAPOIDC
叮当猫的喵i
01-30 1724
为了检索的需要添加了 BIN(二进制数据)、CIS(忽略大小写)、CES(大小写敏感)、TEL(电话型)等语法(Syntax)。但目录一般只执行简单的更新(写)操作,不支持批量更新所需要的事务处理功能;可以把Dex当作一个轻量级的认证的代理入口(portal),应用APP只需要通过与Dex交互,由Dex负责与后端的上游认证服务器交互,从而屏蔽了后端认证服务器的协议差异。目录信息树可以类比我们的**「磁盘文件系统目录树」**,上面的定义是官方定义,理解起来,DIT 就是指像文件系统一样的目录结构树。
OIDC的介绍
weixin_65692248的博客
01-26 2614
OIDC协议的基本介绍,以及三种流程。
TethysLDAPConnector:在 LDAP 服务器注册 OIDC 用户后创建 OIDC 用户的钩子组件
07-18
标题中的"TethysLDAPConnector"是一个专用于集成LDAPLightweight Directory Access Protocol)与OIDCOpenID Connect)的组件。这个组件的主要功能是在用户在LDAP服务器上完成注册后,自动在OIDC系统中创建相应的...
OIDC JWKs分布式声明LDAP相关的认证Go包的集合.zip
05-25
LDAPLightweight Directory Access Protocol)是一种常用的身份管理目录服务协议。这些技术在Go语言中的实现,为开发者提供了强大的身份验证工具。 1. **OIDCOpenID Connect)**: 是一个简单且开放的用户身份...
选择合适的用户系统 - 各认证协议介绍及cas、keyclock、authz、authing等的对比
reprover的博客
09-17 2836
本文首发于俺的博客:https://rxrw.me/tech/user-system-compare/ 从我刚开始学习互联网方面的编程开始,无论是写什么项目(除了微信公众号的消息收发),用户都是一个耗时间、耗精力而又无法保证开发最终稳定、无法复用的功能。对于每个业务需求,有一半的时间都是去做用户系统。从最开始的原生 PHP 手写笨拙的注册流程表单,到 ThinkPHP(呕),再到后来的 Laravel 开箱即用的认证模块——虽然说是开箱即用,但国外的邮箱策略国内的手机号、微信授权功能对比,开发成本还是很
​Harbor制品仓库的访问控制(1)
亨利笔记
03-14 507
题图摄于圣安东尼奥注:微信公众号不按照时间排序,请关注“亨利笔记”,并加星标以置顶,以免错过更新。(本文作者何威威系Harbor开源项目贡献者,本文节选自《Harbor权威指南》一书。)《...
oidc-demo
03-02
oidc.demo OIDCServer:认证授权服务器,是基于IdentityServer4的Web项目。访问地址: OIDCProtectedResources:受保护的资源,也是一个Web项目。访问地址: OIDCClient:客户端,也是一个Web项目。访问地址: 这个分支演示OAuth2.0的Authorization Code授权模式。 需要做的配置 在hosts文件增加 127.0.0.1 server.oidc.test 127.0.0.1 api.oidc.test 127.0.0.1 client.oidc.test 信任根证书cert/myun-ca-root.crt 。 运行说明 启动OIDCServer项目。 启动OIDCProtectedResources项目。 启动OIDCClient项目。 浏览器访问OIDCClient项目 //client.oidc
OIDC协议
飞鸟慕鱼的博客
09-30 3216
1.ID Token是jwt,包含一组关于身份认证会话的声明(claim) 2.access token在oidc中也能使用,伴随着id token一起被发送到客户端,但是这不是必要的,因为id token已经包含了用户信息,access token只是为了OAuth兼容。 3.oidc新增了用户端点,可以获取用户的个人信息 4.oidc规定客户端可以简单的发现授权服务器的所有端点 主要...
七、OIDC
weixin_30800987的博客
06-19 554
在 OAuth中,这些授权被称为scope。OpenID-Connect也有自己特殊的scope--openid,它必须在第一次请求“身份鉴别服务器”(Identity Provider,简称IDP)时发送过去。 转载于:https://www.cnblogs.com/fger/p/11049363.html...
OIDC的学习
liuyancainiao的博客
02-19 3859
OIDC(OpenID Connect),下一代的身份认证授权协议;当前发布版本1.0; OIDC是基于OAuth2+OpenID整合的新的认证授权协议;OAuth2是一个授权(authorization)的开放协议, 在全世界得到广泛使用,但在实际使用中,OAuth2只解决了授权问题,没有实现认证部分,往往需要添加额外的API来实现认证;而OpenID呢,是一个认证(authenticatio...
轻量级 SSO 方略:基于 OIDC 规范(一)
zhangxin09的专栏
10-29 558
OIDCOpenID Connect,见官网介绍。OIDC 为用户身份认证提供了明确的规范指南,以方便我们更好地设计一个 SSO 产品。
【权限管理】OpenID ConnectOIDC
IT古董
01-08 918
OpenID ConnectOIDC) 是基于 OAuth 2.0 协议的身份认证协议,它允许客户端应用程序验证用户的身份,并获取与用户相关的基本信息(如名称、邮箱等)。与 OAuth 2.0 主要关注授权不同,OpenID Connect 专注于提供用户身份验证功能。它是目前互联网上常见的身份认证协议,广泛用于第三方登录服务(如 微信、支付宝、抖音、Google、Facebook 等)以及企业级应用
OIDC】概念
breakwhile的博客
04-21 661
OIDC是Open ID Connect的缩写,相对于oauth来说OIDC主要增加了一些安全措施token加密,以及规定了用户的头像必须为picture(图像)而不是avatar(虚拟符号),这让开发者在接入ODIC是不需要做字段对齐,OIDC是单点登录的一种实现方式,其主要作用是简化用户创建账户注册的流程。OIDC是一个面向身份认证的过程,而oauth是一个面向授权的过程,同时OIDC也是在oauth上的一个扩展,主要是在oauth协议的基础框架上加了一些具有唯一性的工作流。一、OIDC是什么?
轻量级 SSO 方略:基于 OIDC 规范(二)
zhangxin09的专栏
11-13 789
介绍了 SSO 相关的基础数据,这样有了 ClientId 密钥后,我们就要准备客户端这边的代码。客户端当前指的便是一个网站(也就是 RP),这个网站要求有会员功能,典型地网站导航上通常会有“注册”或“登录”的链接。假设我们这是最简单的网站,采用 Servlet Session 本地记录用户凭证。本身这个网站设计用户的模块,得通过 SSO 完成用户登录。另外我们还要准备一个登录页面,简单的例子如下。这个页面存在 SSO 中心(也就是 OP)的,而不是客户端的。
kube-oidc: Kubernetes集成OpenID Connect身份验证解决方案
资源摘要信息:"kube-oidc是一个为Kubernetes提供的实用程序,主要功能是实现OpenID ConnectOIDC)认证。OIDC基于OAuth2协议,并在其基础上增加了ID令牌机制,这种令牌是一种签名的JSON Web令牌(JWT),包含了用于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值