基本认证 vs OAuth 2.0 vs OpenID Connect
目前 Authing 有三种可以选择的认证方式:
-
基本认证是基于 API 接口,通过发送账密、手机验证码到 服务器 后端的方式直接完成用户认证。提供 MFA、忘记密码等功能。
-
OAuth 2.0 协议主要用于资源授权。
-
OpenID Connect 协议,简称 OIDC,是 OAuth 2.0 协议的超集,能够认证用户并完成资源授权。在可以选择 OIDC 的情况下,应该选择 OIDC。
如果你希望实现单点登录或先鉴权用户再返回资源,建议使用 OIDC 协议。
OAuth 2.0
OAuth 2.0 是一个授权标准协议。如果你希望将自己应用的数据安全地授权给调用方,建议使用 OAuth 2.0。
根据 OAuth 2.0 协议规范,主要有四个主体:
- 授权服务器,负责颁发 Access Token,用户服务器是授权服务器。
- 资源所有者,你的应用的用户是资源的所有者,授权其他人访问他的资源。
- 调用方,调用方请求获取 Access Token,经过用户授权后,用户服务器 为其颁发 Access Token。调用方可以携带 Access Token 到资源服务器