认证与授权协议对比:OAuth2、OpenID、SMAL

最新推荐文章于 2023-06-06 17:40:56 发布
最新推荐文章于 2023-06-06 17:40:56 发布
阅读量240 收藏
点赞数
文章标签: json

认证授权是目前大多数系统都必须要实现都功能,认证就是验证用户都身份,授权就是验证身份后对受限资源的访问控制。最开始是单个平台要做,后来在互联网时代到来,一个账户可登陆多个平台,然后是各种开放平台账户共享,认证授权变的越来越重要。关于验证授权方面的规范协议也相对成熟通用。

最早出现的认证授权协议是SMAL,一般用在企业级单点登陆场景。平时接触到的不多。

OAutho是看到的用的比较多的认证协议,尤其是在API认证授权时用,最开始是1.0版本,后来因为有回话攻击、会话劫持的漏洞,出了1.0a版本,讲回调链接前置、增加安全验证签名等,但编程实现较麻烦,后来出现OAuth2版本,但不兼容之前的版本。一般见到大多数时用OAutho2或OAutho1.0a。

OpenId一开始出现是为了解决认证的问题,后来出现了OpenId Connect,在OAutho的基础上也可以实现授权的功能。

 

对比点OAuth2OpenIDSMAL
票据格式JSON or SAML2JSONXML
支持授权YesNoYes
支持认证“伪认证”YesYes
创建年份200520062001
最新版本OAuth2OpenID ConnectSAML 2.0
传输方式HTTPHTTP GET and HTTP POSTHTTP重定向,SAML SOAP绑定,HTTP POST绑定等
安全弱点不能抵抗网络钓鱼,OAuth没有使用数据签名和加密等措施,数据安全完全依赖TLS不能抵抗网络钓鱼,一个钓鱼的IDP如果恶意记录下来用户的OpenID,将会造成很严重的隐私安全问题XML签名存在漏洞,可能被伪造
使用场景API 授权商用应用的单点登录企业级单点登录,但是对于移动端支持不是很好

对比表格来源:http://www.jianshu.com/p/5d535eee0a9b

ducode
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
微信登录-Oauth2.0获取用户openid、头像、昵称等相关信息
02-14
使用asp开发的微信登录-Oauth2.0获取用户openid、头像、昵称等相关信息,用于公众号相关应用开发。
aerogear-ios-oauth2:OAuth2OpenID Connect的客户端库
02-04
aerogear-ios-oauth2 基于OAuth2客户端。 项目信息 执照: Apache许可证,版本2.0 建立: 可可豆 朗格格: 斯威夫特4 说明文件: 问题追踪器: 邮件列表: () () 表中的内容 产品特点 多个OAuth2帐户...
认证授权——单点登录协议盘点:OpenID vs OAuth2 vs SAML
weixin_34168880的博客
07-30 1371
无论是Web端还是移动端,现在第三方应用账户登录已经成为了标配,任意打开个网站都可以看到,QQ/微信账号登录的字样。使用第三方账户的登录的过程,既要限制用户身份只让有效注册用户才能登录,还要根据注册用户的不同身份来控制能浏览的内容,这就需要认证授权 相关文章链接: OAuth2.0 协议入门指南 Ope...
OAUTH2 SAML2.0
weixin_30618985的博客
11-10 420
OAuth2 -http://www.cnblogs.com/linianhui/p/oauth2-authorization.html SAML - wikipedia Shibboleth / PingFederate 转载于:https://www.cnblogs.com/tang88seng/p/9940271.html
统一身份认证授权标准介绍:OpenIDOAuth2,SAML
王浩的技术博客
08-14 1万+
统一身份认证授权中三种最常见的Web安全协议OpenIDOAuth和SAML。本文通过举例来介绍这三种协议的含义和之间的不同。 授权和身份验证基础知识 做为一个面向公众的网站都希望能够对每个用户进行身份验证和授权。身份验证意味着验证某人确实是他们声称的身份。授权意味着决定某个用户能够访问哪些资源,以及允许他们对这些资源执行哪些操作。 对于Facebook或Google等网站,用户可以使用一组...
OAuth 2.0OpenID Connect 协议的完整指南
paolei的笔记
07-02 2897
本文由 Haseeb Anwar 发表在 medium,经原作者授权由 InfoQ 中文站翻译并分享。 我们都在网站或者手机应用中见过“谷歌登陆”和“绑定 Facebook“这样的按钮。如果你点击这个按钮,就会有一个窗口弹出并显示“这个应用想要访问你的公共个人主页、通讯录……“,同时它会询问你是否授权。概括而言,这就是 OAuth。对于每个软件工程师、安全专家甚至是黑客,理解这些协议都是非常重要的。 前言 本文是一篇关于 OAuth 2.0OpenID Connect 协议的完整指南,这
OpenIdOAuth协议详解
01-29
OpenID是一个开放式标准,它主要描述了在用户在分布式系统的认证方式以及提供了一套额外的服务系统允许用户方便使用特定的数字身份。 OAuth协议最初的出现是为了解决不同网站和其他互联网服务商访问受保护的资源这个...
Spring Security OAuth2认证授权示例详解
08-25
通过以上讲解,我们可以看到Spring Security OAuth2如何帮助开发者构建安全的认证授权系统,以及如何使用OAuth2授权协议来保护用户数据。理解这些概念和配置细节对于开发涉及用户数据交换和安全访问控制的现代Web...
分支:Haskell中的OAuth2和OpenID Connect
02-02
总之,Haskell作为一门强大的编程语言,不仅适合构建类型安全、可维护的系统,也可以用于实现复杂的认证授权协议,如OAuth2和OpenID Connect。理解这两个协议的工作原理和在Haskell中的实现,对于构建安全的Web...
oauth2+openidconnect 授权身份认证
01-12
OAuth2和OpenID Connect是两种广泛用于Web应用和API安全的身份验证和授权协议。它们在现代互联网服务中扮演着至关重要的角色,确保用户数据的安全交换和访问控制。 OAuth2是开放标准,主要用于允许用户授权第三方...
SSO、OAuth2、JWT、CAS、OpenID、LDAP、淘宝微信登录一网打尽
babay550的博客
11-16 5107
SSO、OAuth2、JWT、CAS、OpenID、LDAP、淘宝微信登录一网打尽
OAuth 2.0(四):手把手带你写代码接入 OAuth 2.0 授权服务
m0_59598029的博客
01-12 778
1、关注 授权服务 的官方文档,开放平台接入文档是一个很重要的凭据。2、第三方软件接入授权尽量采用 服务端发起型 授权,使用 授权码许可机制,因为这更安全、更完备。3、强烈建议你手把手撸一遍,OAuth 2.0 接入的代码很考验基本功和代码风格,其中用到了 Redis 缓存、Hutool 工具去发起 Http 请求等。
OpenID及其原理介绍,OAuthOpenID的区别
热门推荐
xcjing的博客
06-28 1万+
OpenID及其原理介绍 昨天和朋友谈到统一身份验证时,才知道这个OpenID的东东,汗一个先... 这是一套不别于微软的Passport(或者其他厂商的一些所谓通行证技术)的开源的解决方案,支持自己架设验证服务器。我想对于企业内部大部分应用系统实现统一登录是会有些帮助的。它的主要原理是 1. 你首先得拥有一个合法的OpenID帐号,也就是说需要在一个验证服务器申请了一个帐号。 2
OAuth2.0 授权 & OpenID Connect 身份认证
最新发布
weixin_43294560的博客
06-06 1439
【代码】OAuth2.0 授权 & OpenID Connect 身份认证
OAuth2介绍
qq_45441466的博客
02-06 5237
一、OAuth2解决什么问题 1、OAuth2提出的背景 照片拥有者想要在云冲印服务上打印照片,云冲印服务需要访问云存储服务上的资源 2、图例 资源拥有者:照片拥有者 客户应用:云冲印 受保护的资源:照片 3、方式一:用户名密码复制 适用于同一公司内部的多个系统,不适用于不受信的第三方应用 4、方式二:通用开发者key 适用于合作商或者授信的不同业务部门之间 5、方式三:办法令牌 接近OAuth2方式,需要考虑如何管理令牌、颁发令牌、吊销令...
安全声明标记语言SAML2.0初探
程序那些事
12-13 1万+
SAML的全称是Security Assertion Markup Language, 是由OASIS制定的一套基于XML格式的开放标准,用在身份提供者(IdP)和服务提供者 (SP)之间交换身份验证和授权数据。 SAML的一个非常重要的应用就是基于Web的单点登录(SSO)。 接下来我们一起来看看SAML是怎么工作的。
【笔记】浅谈OAuth2 accessToken和OIDC idToken的理解和使用场景
LeoSong121的博客
04-02 1万+
前言 OAuth2 官网:https://oauth.net/2/ OIDC:Open ID Connect 官网:http://openid.net/connect/ What is OpenID Connect? OpenID Connect 1.0 is a simple identity layer on top of the OAuth 2.0 protocol. It allows Clients to verify the identity of the End-User bas
OpenIDOAuth 有什么区别
草根上的须子
08-17 1741
OpenID是Authentication OAuth是Authorization 前者是网站对用户进行认证,让网站知道“你是你所声称的URL的属主” 后者其实并不包括认证,只不过“只有认证成功的人才能进行授权”,结果类似于“认证+授权”了。OAuth相当于:A网站给B网站一个令牌,然后告诉B网站说根据这个令牌你可以获取到某用户在A网站上允许你访问的所有信息 如果A网站需要用B网站的用户系统进行登...
用通俗的例子解释OAuthOpenID的区别【原】
weixin_34269583的博客
03-14 376
什么是OAuth(Wiki) 什么是OpenID(Wiki) 详细的定义可以看wiki,下面举个例子说说我的理解 现在很多网站都可以用第三方的账号登陆,比如,现在我要登录淘宝买东西,而如果我没有淘宝的账号,我也可以用微博的账号登录,这个微博账号就是第三方账号了。 OpenID强调验证 authentication,而OAuth强调授权 authorization。 验证就是说“...
理解OAuth2.0OpenID Connect:授权与身份验证
OAuth2 和 OpenID Connect 是互联网安全领域中两个重要的标准协议,主要用于授权和身份验证。它们通常用于解决用户如何安全地允许第三方应用访问其在另一服务(如 Google 或 Facebook)上的个人数据,而无需直接分享...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值