就是国内的大部分厂商(我接触过的),内部的单点登录系统的实现,都没有完全按照 openID connect 或者说 oauth2 的流程,而是省略了其中授权码的步骤,直接跳到 sso 登陆中心发放 token 到客户端。
想问下这么实现除了方便以外,还有没有其他优势?另外不按照 OIDC 协议标准来实现的话是不是现在国内大部分厂商的习惯,也就是 OIDC 目前在主流上渐渐式微了?
希望大佬解惑,谢谢!
1
refkent 2020-11-23 10:12:58 +08:00
直接颁发 token 也是 oauth2 的一种模式: 隐式许可类型( Implicit ),你说的授权码也是其中类型之一,授权码相比起隐式的优势个人认为主要是令牌不向前端暴露,我之前也对接了几个 oauth 的单点登录,就微信、支付宝、github 都也是使用授权码模式来实现的。
|