我正在尝试为两个网站实现 SSO,目前已研究 SAML
和 OpenID Connect
.但我需要使用相同的凭据对基于 Swing 的桌面客户端进行身份验证。
我已经阅读了 OpenID Connect 的隐式流程,但它似乎仍然需要打开浏览器。
似乎可以解决此类问题的 SAML 增强型客户端或代理配置文件似乎没有被我尝试过的大多数 idps 实现。 (只有 Shibboleth 支持它,而且 Shibboleth 的文档不是那么好)。
应用?
问题?
Swing 客户端使用与 SSO IdP 相同的凭据?
最佳答案
OpenID Connect 试图解决在两方之间共享用户身份验证的问题:身份提供者 (OP) 和客户端。
这在 OIDC 文档中没有明确说明,但根据我的经验 OIDC 不会尝试解决您如何跨不同平台验证自己的用户 (网络、移动/桌面)。
这是 OAuth 2.0“Resource Owner Password Credentials grant”的极少数有效用例之一,其中客户端 exchanges token 的用户凭据。
在这里,您在自己的系统中,您的移动/桌面应用程序不能被视为第三方,它只为用户提供一种可信的方式向您发送其凭据。
您可以确保应用程序不会存储它们,因为您可以控制代码库。
编辑:移动应用程序实例可以共享(除非您设法动态分配客户端 ID)client ID/secret that cannot be kept confidential .它构成了 really thin客户端身份验证层,尝试确保请求确实来自您的移动/桌面应用程序:
POST /oauth/token HTTP/1.1
Authorization: Basic ${BASE64_ENCODED_CLIENTID_CLIENTSECRET}
grant_type=password&
username=${USERNAME}&
password=${PASSWORD}
有些人不喜欢它指定如何对用户进行身份验证,有些公司可能拥有除用户名+密码之外的其他凭据,例如在使用 2 因素身份验证时。此外,有些人错误地使用了 ROPC 授权,因为它仅在组织内部有效,允许客户端请求您自己的用户凭据正在扼杀拥有 SSO/授权协议(protocol)的意义。
OIDC is still OAuth 2.0 ,这意味着您可以自由实现自己的“用户凭据”流程,以从您的桌面/移动应用程序获取访问 token + ID token 。但它不在 OIDC 的范围内。
顺便说一句,SAML是在移动应用程序还没有真正出现的时候创建的:
SAML 2.0 was ratified as an OASIS Standard in March 2005
关于single-sign-on - 使用 SAML/OpenID Connect 为两个网站实现 SSO。如何验证 Swing 客户端?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/30455050/