一直想要搞明白OpenID Connect是神馬，它在解決一個(gè)神馬問(wèn)題侧馅，看了很多文章視頻還是有點(diǎn)糊涂硼被。所以想換個(gè)思路，看看它和OAuth的差異到底是什么寿弱，從這點(diǎn)上幫助理解一下犯眠。

首先明確的一點(diǎn)是OpenID是在OAuth基礎(chǔ)上的一個(gè)擴(kuò)展，擴(kuò)展出了一個(gè)ID Token症革。這個(gè)ID Token就是核心喲筐咧！

1. OAuth 2.0 is a specification as to how to issue access tokens
2. OpenID Connect is a specification as to how to issue ID tokens.

在之前的文章中描述了access token，它是第三方應(yīng)用來(lái)獲取資源所有者存儲(chǔ)在資源服務(wù)器上數(shù)據(jù)的憑證噪矛。我們現(xiàn)在回顧一下access token：

access token

RFC 6749 includes the definition of a Web API called “authorization endpoint”. The API requires response_type as a mandatory request parameter.

OAuth 中有一個(gè)授權(quán)服務(wù)器量蕊，有一個(gè)endpoint來(lái)進(jìn)行授權(quán)的，例如Github的https://github.com/login/oauth/authorize艇挨。完整url如下：

https://github.com/login/oauth/authorize?client_id=f252166dc176d078abac&redirect_uri=https%3A%2F%2Fruby-china.org%2Faccount%2Fauth%2Fgithub%2Fcallback&response_type=code&state=b7b6fca650d3e86594981cc8c792efebe6af13caaee4ce4d

這個(gè)url里包含了4個(gè)參數(shù)：

client_id=f252166dc176d078abac
redirect_uri=https://ruby-china.org/account/auth/github/callback
response_type=code
state=b7b6fca650d3e86594981cc8c792efebe6af13caaee4ce4d

其中response_type是必須的残炮，它指明了在這個(gè)OAuth流程中所使用的模式，code指的是授權(quán)碼模式雷袋。在RFC 6749中定義的response_type是code或token吉殃。

id token

OpenID在此基礎(chǔ)上為response_type擴(kuò)展了一個(gè)id_token，也允許這三種類(lèi)型的混合楷怒。

1. code
2. token
3. id_token
4. id_token token
5. code id_token
6. code token
7. code id_token token
8. none

如果要使用response_type=id_token蛋勺，那么在https://github.com/login/oauth/authorize的scope參數(shù)中需要添加openid。這里只是打一個(gè)比方鸠删，目前Github并不支持OpenID抱完，authorize可接受的參數(shù)可查看官方文檔：Github Authorizing OAuth Apps。

id token的獲取流程

相比于OAuth的流程刃泡，OpenID有什么不同呢巧娱？

openid.png

在這張流程圖中可以看到，流程上并無(wú)明顯差異烘贴，只是從AS（OAuth中的授權(quán)服務(wù)器）多返回了一個(gè)id_token禁添。這個(gè)id_token只是一個(gè)id性質(zhì)的字符串么？通過(guò)這篇文章Understanding ID Token可以得知桨踪，它就是一個(gè)JWT老翘。并且在之后的請(qǐng)求中都會(huì)帶著這個(gè)id token，被訪問(wèn)的服務(wù)器也會(huì)校驗(yàn)這個(gè)id token的合法性。那么這個(gè)id token存在的意義是什么呢铺峭？

摘自InfoQ的一段話:

OpenID 是一種身份識(shí)別系統(tǒng)墓怀，它允許用戶用單個(gè)帳號(hào)登錄多個(gè)網(wǎng)站。OpenID 是由 OpenID 基金會(huì)支持的卫键，該組織成立于 2008 年傀履，并得到了 Facebook、谷歌莉炉、IBM钓账、微軟、PayPal 和雅虎等多家公司的贊助呢袱。OpenID 一直被認(rèn)為是一種可以免除人們“為每一個(gè)網(wǎng)站創(chuàng)建帳戶并記憶用戶名 / 密碼”的身份驗(yàn)證方案官扣。

1. 場(chǎng)景一：
   想想上篇文章提到的第三方登錄，如果Github是它的唯一登錄方式羞福，是它唯一的Identity Provider惕蹄。那么也就是說(shuō)RubyChina不需要?jiǎng)?chuàng)建自己的SessionId或是Token這種東西，直接在登錄成功后將id token返回給瀏覽器治专，有了這個(gè)id token卖陵，就可以保持當(dāng)前回話，訪問(wèn)RubyChina的其他資源张峰，這也就達(dá)到它起初的愿景咯泪蔫。

2. 場(chǎng)景二：
   單點(diǎn)登錄SSO，在火熱的微服務(wù)架構(gòu)下喘批，需要自建一個(gè)Identity Provider撩荣。用戶通過(guò)這個(gè)server獲得一個(gè)JWT的token（id token）就可以訪問(wèn)scope內(nèi)的任意服務(wù)。

通過(guò)這兩個(gè)場(chǎng)景就已經(jīng)很好的解釋了OpenID解決的問(wèn)題饶深。它是一套完善的認(rèn)證授權(quán)機(jī)制餐曹，通過(guò)它可以很好的解決開(kāi)發(fā)過(guò)程中的訪問(wèn)控制問(wèn)題。

在下一篇文章里敌厘，會(huì)來(lái)聊聊對(duì)id token的理解台猴。