在 OpenID Connect 中使用自发行提供商的安全隐患
Security implications of using Self-Issued Providers in OpenID Connect
将 Self-Issued Providers 与 OpenID Connect 结合使用是否存在重大安全缺陷? (以及那些 imply/require 的隐式流程?)
相对于,比方说,使用动态客户端注册?
我们正在开展一个需要分散式跨域身份验证的项目,其中 server/client 预注册很困难或不可能。这意味着我们需要从这两种机制中选择一种,听起来像? (自行发行的提供商或动态客户端注册)。哪一种更适合什么样的情况?
自行发布的提供商和动态客户端注册服务于不同的目的。
自发布提供商是自托管的或可能是浏览器内的 OpenID Connect 提供商,它们与依赖方没有信任关系。他们向 RP 提供相当于自我注册的功能,并提供 "non-asserted" 身份。
动态客户端注册让 Clients/RPs 向 OpenID Connect 提供商注册自己以动态创建信任关系,以便提供商可以向客户端提供第 3 方声明的身份。
将 Self-Issued Providers 与 OpenID Connect 结合使用是否存在重大安全缺陷? (以及那些 imply/require 的隐式流程?)
相对于,比方说,使用动态客户端注册?
我们正在开展一个需要分散式跨域身份验证的项目,其中 server/client 预注册很困难或不可能。这意味着我们需要从这两种机制中选择一种,听起来像? (自行发行的提供商或动态客户端注册)。哪一种更适合什么样的情况?
自行发布的提供商和动态客户端注册服务于不同的目的。
自发布提供商是自托管的或可能是浏览器内的 OpenID Connect 提供商,它们与依赖方没有信任关系。他们向 RP 提供相当于自我注册的功能,并提供 "non-asserted" 身份。
动态客户端注册让 Clients/RPs 向 OpenID Connect 提供商注册自己以动态创建信任关系,以便提供商可以向客户端提供第 3 方声明的身份。