身份验证是指目前大多数系统都需要实现通用功能。 身份验证是验证用户的通用性,身份验证是身份验证后对受限资源的访问控制。 最初是在一个平台上进行,随着互联网时代的到来,一个账户可以登陆多个平台,之后各种开放平台账户可以共享,有了认证许可证关于认证认可的规范协议也比较成熟通用。
最先出现的认证许可协议是SMAL,普遍用于企业级单点登录场景。 平时很少碰。
OAutho是一种常见的认证协议,特别是在API认证许可证时使用。 最初是1.0版,之后由于存在回复攻击、会话劫持漏洞,出现了1.0a版。 说回调链接的前置、添加安全验证签名等,编程实现起来很麻烦,后来出了版本2,但是和以前的版本不兼容。 一般多使用OAutho2或OAutho1.0a。
OpenId最初问世是为了解决认证问题,后来OpenIdConnect问世,也可以基于OAutho实现许可的功能。
点OAuth2OpenIDSMAL票证格式JSON or SAML2JSONXML支持许可证是是否是是创建成功200520062001最新版本oauth2OpenID connectsame http p重定向、SAML SOAP绑定、HTTP POST绑定等安全弱点无法抵抗网络钓鱼。 OAuth没有使用数据签名和加密等措施。 数据安全依赖TLS,无法阻止网络钓鱼。 如果网络钓鱼的IDP恶意记录用户的OpenID,则存在严重的隐私安全问题XML签名中存在漏洞,可能使用场景API伪造授权商用APP的企业级单点登录
比较表来源: http://www.Jian Shu.com/p/5d 535 e E0 a9b