欢迎来到 OpenID Connect

什么是OpenID Connect

OpenID Connect 1.0 是基于 OAuth 2.0 协议(RFC 6749)之上的一个简单身份层。其允许客户端通过授权服务器认证终端用户的身份，并通过REST风格接口获取终端用户的基本摘要信息。
OpenID Connect 支持各种类型的客户端，包括Web，移动终端和 Javascript 客户端程序，请求和接收经过身份认证的会话和终端用户数据。该协议簇是可扩展的，允许参与者使用可选的特性，例如身份数据加密，OpenID提供程序动态发现以及会话管理等。

OpenID Connect 与 OpenID 2.0 的区别

OpenID Connect 与 OpenID 2.0 具有很多相同的功能，例如API友好性，都支持原生或者移动应用程序。OpenID Connect 定义了一些可选的机制，像是强签名和加密。与OAuth 1.0a 和 OpenID 2.0 需要扩展来实现这些功能不同，OpenID Connect 和 OAuth 2.0 已将这些功能集成到协议中。

组织规范

OpenID Connect 1.0 规范由以下文档组成：

• Core - 定义了OpenID Connect 的核心功能：认证建立在OAuth 2.0 协议之上，使用声明与终端用户交流信息
• Discovery - (可选) 定义了客户端如何动态发现 OpenID 提供者到信息
• Dynamic Registration - (可选) 定义客户端如何动态注册到 OpenID 提供商
• OAuth 2.0 Multiple Response Types - 定义了几种新的 OAuth 2.0 的响应类型
• OAuth 2.0 Form Post Response Mode - (可选) 定义了如何返回 OAuth 2.0 认证响应参数 (包括 OpenID Connect 认证响应参数)，用户代理使用 HTTP POST 方式自动提交 HTML 表单数据
• Session Management - (可选) 定义了如何管理 OpenID Connect 会话，包括基于发送消息的注销功能
• Front-Channel Logout - (可选) Defines a front-channel logout mechanism that does not use an OP iframe on RP pages
• Back-Channel Logout - (可选) Defines a logout mechanism that uses direct back-channel communication between the OP and RPs being logged out

两个实现者指南也已经可用，指导基于Web的应用程序实现 OpenID Connect 客户端

• Basic Client Implementer's Guide - 一个基本的基于Web应用程序实现简单的OAuth 授权码流程的指南
• Implicit Client Implementer's Guide - 一个基本的基于Web应用程序实现简单的OAuth 隐式流程的指南

一个协议迁移规范已经最终发布：

• OpenID 2.0 to OpenID Connect Migration 1.0 - 定义了如何从OpenID 2.0 协议迁移到 OpenID Connect 协议

最后，OpenID Connect 工作组已经开始了这些新的工作：

• OpenID Connect Profile for SCIM Services - (可选) 定义了如何在 OpenID Connect 协议中使用SCIM
• OpenID Connect Federation - (可选) Defines how sets of OPs and RPs can establish trust by utilizing a Federation Operator

OpenID连接协议、实现指南和规范都在下面的图框中

OpenIDConnect-Map-4Feb2014.png

英文原文