リソース所有者資格情報 (パスワード) 権限付与タイプのアクセス トークンを使用してユーザー属性を取得したいと考えています。OpenID Connect を使用したいのですが、仕様はブラウザー ベースの許可についてしか説明していません。すなわち、認証コードと暗黙的です。
仕様がサポートしていない理由を理解しようとしています。セキュリティリスクのためですか?または他の理由ですか?
2 に答える
4
サービスがユーザーのサインイン識別子とパスワードにアクセスできる付与タイプは、ユーザーが自分の資格情報を信頼する (または誤って提供する) 必要なく、ユーザーを認証および識別することができる OpenID Connect の目的を無効にします。 .
このグラント タイプに関するセキュリティ上の問題は、RFC 6749 セクション 4.3で説明されています。そして、それは明示的に述べています(私のものを強調してください):
認可サーバーは、この付与タイプを有効にする際に特別な注意を払い、他のフローが実行可能でない場合にのみ許可する必要があります。
関連: OpenID Connect は Resource Owner Password Credentials グラントをサポートしていますか?
于 2014-09-17T20:55:31.187 に答える