问题标签 [openid-connect]

我真的想了解 OpenID 和 OAuth 之间的区别？也许它们是两个完全不同的东西？

我们目前有一个基于 OpenID 的 Google AppEngine 应用程序。

我们现在正尝试将我们的应用程序与我们的客户内部 IT 系统集成，并且看到 OpenID 是一个非常复杂的实施规范。

我们还看到，Google 正在朝着 OpenID Connect 的方向发展（如果您查看 Google Drive）。

除了 Google 之外，还有其他知名的公共 OpenID Connect 提供商吗？

.NET 中是否有任何 OpenID Connect Provider 的实现示例？

DotNetOpenAuth 似乎不支持这个标准。

我一直在阅读有关 OpenId Connect 的信息。拥有可以在许多站点之间共享的联合身份的想法似乎很棒。

我想知道 Facebook 是否接受 OpenId Connect？我不是在询问使用 OAUTH 通过 Facebook Connect 服务进行授权，而是绕过 Facebook 授权步骤，让 Facebook 通过用户 OpenId Connect 会话令牌自动授予我的用户访问权限。

他是我想采取的假设步骤。

• 使用标志进入我的网站。
• 站点颁发 OpenId Connect 令牌
• 用户导航到 Facebook 网站
• Facebook 读取 OpenId Connect 令牌，并授予用户访问权限
  • （Facebook 跳过登录提示）

这可能吗？此外，我可能会错过一些步骤（写一个 cookie），因为我处于早期的 get-my-mind-around-it 阶段。

此外，我读到 Facebook Connect 是一项竞争技术，因此如果 Facebook 没有实施 OpenId Connect，那将是完全合理的。

如果有人能提供任何启示，我将不胜感激。

I have seen in the some articles, It is said that OpenID Connect would replace SAML as the dominant protocol for SSO. I am not sure how openID connect would handle the session management capabilities with different service providers and how it could be used to implement single logout? Currently, Are there are IDM servers (open source or commercial) that supports OpenID connect as a SSO IDP (as replacement for SAML2 SSO IDP)?

我正在寻找一个可以用来实现 OpenId Connect Provider 的好包。我找到了一个叫做 pyoidc 但它周围的文档一点也不好。任何人都可以建议一个不同的包，或者有没有人有 pyoidc 的示例实现？

Thinktecture.IdentityServer 是否支持加密它发布的 JWT 令牌，例如保护令牌不被用于回复攻击？

如果是，客户端如何解密加密的令牌？

我尝试在 IdentityServer 常规配置中启用“需要令牌加密”，但是在这样做之后，当我尝试登录时，我在身份服务器网页上收到“没有可用的加密密钥”消息。

有问题还是我缺少必需的设置？

我之前一直在使用 OAuth 资源所有者凭据流进行授权。

但是，我现在想考虑在此步伐中使用 openid connect 进行身份验证和授权，并且想知道 openid connect 是否支持资源所有者凭据流。

Google在https://accounts.google.com/.well-known/openid-configuration实施了OpenID Discovery Spec ，它允许开发人员和用户找到 OpenID 身份验证所需的 URL 和密钥。

我想知道 Facebook 和可能的其他（例如 Microsoft Live）等价物是什么，所以我可以以标准方式使用 Facebook 和其他人。

SalesForce 还有一个发现 URL https://login.salesforce.com/.well-known/openid-configuration

我正在尝试为我的组织实施 OpenID Connect 规范。我在测试依赖方应用程序中使用 Microsoft 的 OpenID Connect OWIN 实现来验证我的协议实现。

我公开了以下元数据文档：

签名密钥作为本文档公开：

身份令牌是使用JwtSecurityToken类及其关联的处理程序生成的，使用X509SigningCredentials类。此代码代表令牌是如何构造的，并作为响应数据的参数返回给调用系统。

当我尝试将签名的令牌传递回依赖方应用程序时，OWIN 中间件接受 POST 并尝试验证令牌的签名。这样做会引发以下异常：

SecurityTokenSignatureKeyNotFoundException：IDX10500：签名验证失败。无法解析 SecurityKeyIdentifier: 'SecurityKeyIdentifier (IsReadOnly = False, Count = 1, Clause[0] = X509ThumbprintKeyIdentifierClause(Hash = 0xF8A59280B3D13777CC7541B3218480984F421450))', 令牌: '{"typ":"JWT","alg":"RS25 "x5t":"-KWSgLPRN3fMdUGzIYSAmE9CFFA"}.{"iss":" https://test.accesscontrol.net/","aud":"test","nbf":1404917162,"exp":1404917462,"sub":"60eb55ec-0699-4068-bfa6-41666fc2b2e9","iat":"1404917162"} RawData: eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6Ii1LV1NnTFBSTjNmTWRVR3pJWVNBbUU5Q0ZGQSJ9. eyJpc3MiOiJodHRwczovL2Fjcy5zdXJlY2xvdWQuY29tLyIsImF1ZCI6InRlc3QiLCJuYmYiOjE0MDQ5MTcxNjIsImV4cCI6MTQwNDkxNzQ2Miwic3ViIjoiNjBlYjU1ZWMtMDY5OS00MDY4LWJmYTYtNDE2NjZmYzJiMmU5IiwiaWF0IjoiMTQwNDkxNzE2MiJ9.xkP0RwlX3CYfU0KhFsVvLJC94WK22DTqNTm71cfjiJ8VUHv3b2YhDqfq70N8mQEyiR8vTR6OQqnO6UqXqX4RXUs6ZkfK9Liv3n9NhCs97wJhP2jfefJYeScYtRmWcNNWSSL7vkm2JXQfwKOQTnOGp-ba04TtI6jVrjhOQXH43eCJ9vNuBUzdD-t8CAdmnbvH0nWpIB8kWbw5v8Sa0aQuxMjJYbLC_2Iw3X13dqnyVjp4fA7eSB8N7c1it0KEB-VKfUqiGD3VecyEZGGZbaGE8rvVet5QrY1lJ3V4yM8j6-xDc5Yndc4swOun0L3D6TYk-8gdVXUJDRjbv1ZuhZltsw'.

该组件仍然是预发布的，所以这可能是实现中的一个缺陷，但是我想假设这是我的错误，直到所有可能性都被排除。

有什么我正在做的事情显然是错误的，还是我应该做些什么来准确理解为什么签名无法验证？