就是国内的大部分厂商(我接触过的),内部的单点登录系统的实现,都没有完全按照 openID connect 或者说 oauth2 的流程,而是省略了其中授权码的步骤,直接跳到 sso 登陆中心发放 token 到客户端。
想问下这么实现除了方便以外,还有没有其他优势?另外不按照 OIDC 协议标准来实现的话是不是现在国内大部分厂商的习惯,也就是 OIDC 目前在主流上渐渐式微了?
希望大佬解惑,谢谢!
This topic created in 2002 days ago, the information mentioned may be changed or developed.
 |
1
refkent Nov 23, 2020
直接颁发 token 也是 oauth2 的一种模式: 隐式许可类型( Implicit ),你说的授权码也是其中类型之一,授权码相比起隐式的优势个人认为主要是令牌不向前端暴露,我之前也对接了几个 oauth 的单点登录,就微信、支付宝、github 都也是使用授权码模式来实现的。
|
Select Language