身份与访问
OpenID Connect (OIDC)
别称: OIDC
定义
构建在 OAuth 2.0 之上的身份层,允许客户端通过签名的 ID 令牌验证用户身份并获取基本资料。
OpenID Connect (OIDC) 在 OAuth 2.0 基础上提供了一套标准化的认证协议。除了 OAuth 访问令牌,授权服务器还会颁发 ID 令牌——一个携带认证用户信息(sub、iss、aud、auth_time、属性)的签名 JWT——并提供 UserInfo 端点。客户端在信任该身份前会验证签名、签发者、受众和有效期。OIDC 已成为 Web 与移动 SSO、社交登录以及 IdP 之间联合的事实标准。相比 SAML,它对 JSON/HTTP 更友好,更适合移动端与 API 场景,并支持 PKCE、pairwise 主体标识、DPoP 等现代特性。
示例
- Web 应用通过 OIDC 实现 "使用 Microsoft 登录" 来认证企业员工。
- 移动应用在使用用户数据前,验证 Auth0 颁发的 ID 令牌。