（譯）OpenID Connect的常見問題與答案（二）

OpenID Connect是什麼，它是怎麼樣工做的？

OpenID Connect是可互操做的身份驗證協議基於OAuth 2.0規範族。它使用簡單的REST / JSON消息流實現「讓簡單的事情變得簡單和複雜的事情變爲可能」的設計目標。開發者能夠輕鬆集成、比較以前任何一種身份認證協議。

OpenID Connect容許開發者驗證跨網站和應用程序的用戶，而無需擁有和管理密碼文件。app builder,它提供了一個安全的可覈查的,回答這個問題:「當前須要身份驗證的用戶是使用瀏覽器仍是本地應用 Connect個人?」 OpenID Connect容許全部類型的客戶,包括基於瀏覽器的JavaScript和本機移動應用程序,啓動登陸流動和接收可驗證斷言對登陸用戶的身份。

(身份驗證)+ OAuth 2.0 = OpenID Connect

OpenID  Connect解決的問題？

它容許應用程序和網站開發人員驗證用戶無需承擔責任的存儲和管理密碼，互聯網日益將用戶的帳戶視爲自身利益。

認證的含義是什麼？

確認一個操做瀏覽器或本地應用的人的身份的過程，及與其對話的過程

什麼是OAuth2.0，它與OpenID Connect是什麼關係？

OAuth 2.0,是一個框架,指定由IETF RFCs 6749和6750(2012年出版)旨在支持身份驗證和受權協議的發展。它提供各類基於JSON和HTTP標準化的消息流；OpenID Connect使用這些提供身份服務。

OpenID Connect的狀態？

最後OpenID規範發佈於2014年2月26日。

有生產部署OpenIDConnect的嗎？

是的。一些例子包括谷歌、Gakunin(日本大學網絡)、微軟、Ping身份,日經報紙,Tokyu公司,mixi,Yahoo !日本和軟銀。也有成熟的部署由工做小組參與者組織進行,如德意志電信、美國在線(AOL)和Salesforce。 OpenID Connect在工做的一個例子,看看Google +登陸,谷歌的旗艦社會身份,徹底是基於OpenID Connect。

在哪裏能夠找到實現OpenID Connect的代碼？

庫頁面列出了許多不一樣的語言實現OpenID的 Connect和相關規範。

在哪裏能夠找到更多OpenID Connect的信息？

OpenID基金會和OpenID Connect網站是一個很好的起點。一樣,工做組領導人的博客網站是有幫助的:邁克·瓊斯，Nat Sakimura和約翰布拉德利。

OpenID的歷史是什麼？

OpenID Connect是OpenID的第三代技術。首先是原始的OpenID,一個有遠見的人的工具,沒有商業應用,但讓行業領導者思考什麼是可能的。OpenID 2.0更充分考慮,提供良好的安全,正確實工做。然而,它遭受了一些設計的侷限性,最重要的是其中依賴方能夠是網頁但不是本機應用程序;它還依賴XML,致使一些應用問題。

OpenID Connect的目標是更多的開發者,並擴大使用範圍。已經成功的在這,有大規模的生產部署操做。程序員有足夠經驗經過HTTP發送和接收JSON消息(這些天他們中的大多數)應該可以實現OpenID從頭使用標準加密簽名驗證庫。幸運的是,大多數甚至都不會去那麼遠,有很好的商業和開源庫,幫助實現身份驗證機制。

OpenID Connect與OpenID2.0的差異，又是如何克服OpenID2.0的問題？

OpenID  Connect與OpenID 2.0有許多類似之處,事實上,這些協議都是解決一個很是相似的問題。然而,OpenID 2.0使用XML和一個自定義消息簽名方案,在實踐中有時讓開發人員很難實現正確使用，OpenID 2.0有時會神祕地拒絕互操做。OAuth 2.0,OpenID Connect,外包所需的Web的內置TLS加密(也稱爲HTTPS和SSL)的基礎設施,這些基礎設備廣泛地在客戶端和服務器平臺上實現。OpenID Connect使用簽名時須要的標準JSON WEB TOKEN(JWT)J數據結構。這讓開發人員極大地更加容易實現OpenID Connect,在實踐中有更好的互操做性。

在實踐中，OpenID Connect互操做性的實時已被證實，一系列擴展的互操做性試驗由OpenID Connect工做小組和OpenID Connect背後的大量開發者實現。

「IDP」和「RP」表明什麼？

這些術語一般用於描述數字身份系統。IDP表明身份提供商,提供用戶身份驗證服務。RP表明依賴方,應用IDP外包其用戶身份驗證功能。

誰能夠成爲「IDP」

OpenID Connect協議的設計是徹底開放的,故意旨在鼓勵一個開放的身份提供商生態系統。目前領先的身份提供商是谷歌和微軟等大型互聯網服務,OpenID Connect的大門對不一樣類型的身份提供商是開放的，,包括人們在Web站點上或者我的設備上,好比手機和平板電腦上運行身份提供商。

OpenID Connect是怎麼發展的？

OpenID Connect是在OpenID基金會工做組開發的。OpenID工做組對全部人開放簽署貢獻知識產權協議,免費的。普遍的視角和用例在工做小組討論。

標準化過程記錄在OpenID過程和遵循的條款「附件3:代碼的良好實踐準備,採納和應用標準」WTO TBT協議。

哪些人和公司參與了OpenID Connect的開發？

貢獻者包括一個多元化的國際行業的表明,學術界和獨立的技術領導人:美國在線,德國電信、Facebook、谷歌、微軟、斜方公司,mixi,野村綜合研究所,橙色,貝寶,Ping身份,Salesforce,Yahoo !日本,其餘我的和組織。

認證或註冊過程須要可以實現OpenID Connect?

OpenID Connect能夠無償使用的任何人。

OpenID Connect還在開發的時候，如何測試其？

互操做性測試已經進行了五輪,實現測試的規範發展。這個過程當中發現任何缺陷和不規範,使他們可以獲得解決以前規格成爲最後一個。這也驗證,實現將很好地協同工做。

爲何開發者要使用OpenID Connect？

由於它很簡單,可靠,安全,並讓他們擺脫困難和危險的存儲和管理別人的密碼。也有好處,它讓用戶的生活更容易在網站註冊和註冊從而減小遺棄。

OpenID Connect適用於原生應用和移動應用嗎？

是的。已經有構建到Android操做系統的系統級api提供OpenID Connect服務。OpenID Connect也能夠訪問、交互內置交互系統瀏覽器的移動和桌面應用,各類各樣的庫正在建設以簡化這一過程。

爲何網絡運營商關心OpenID Connect?

簡單的說,有一個顯著增長移動端訪問量的在線服務，將會同時增長網絡身份盜竊。GSMA鉸接的移動網絡運營商的業務案例(MNOs)http://www.gsma.com/mobileidentity。總之,MNOs經過使用不一樣的的驗證認證技術,有能力提供足夠的驗證,使消費者、企業和政府私自、信任和安全的環境下使用服務。

MNOs愈來愈感興趣的身份目前使用在線服務(好比登陸、市場營銷、銷售接觸,支付,等等),以緩解現有服務中遇到的一些難點,爲了知足移動身份服務的市場需求迅速增長。

它是怎麼提升安全性的？

基於公鑰加密的身份驗證框架，像OpenID Connect(及其前身)在全球範圍內提升整個網絡的安全,負責用戶身份驗證的最專業服務提供商。比它的前輩,OpenID Connect極大地、更容易地實現和集成,能夠獲得更普遍的採用。

OpenID Connect能夠保護我的隱私，或者更好地控制我的信息，或分享？

OpenID Connect標識一組我的屬性之間能夠交換身份提供者和使用它們的應用程序,而且包括一個審批步驟,以便用戶能夠贊成(或拒絕)的共享這些信息。

新的驗證技術怎麼樣，好比生物驗證或者設備

這是一個使人激動的時刻,創新者正在研究一些新的類型的身份驗證技術來替代或補充密碼——特別是,硬件驗證設備和嵌入式加密技術的使用。

這些新方法能夠經過OpenID Connect身份提供者提供成熟、更安全的身份驗證。例如,雙重身份已經在生產，應用在一些OpenID Connect。

事實上,專業運行OpenID Connect國內流離失所者能夠利用這些新技術,由於他們成熟只會增長OpenID Connect的價值主張。沒有作任何額外的,這意味着OpenID Connect依賴方能夠受益於採用強認證技術的國內流離失所者,由於他們已經使用OpenID Connect。

OpenID Connect與SAML的關係?

安全斷言標記語言(SAML)是一種基於xml的聯邦技術，用於某些企業和學術的用例。OpenID Connect基於簡單的JSON /REST協議能夠知足這些用例。OpenID Connect支持本地應用和移動應用程序,而SAML只支持基於web的應用程序。SAML和OpenID Connect可能會在至關一段時間內共存,與每一個部署的狀況下他們是有意義的。

OpenID Connect可否創建互聯網身份認證系統？

可交互性、安全、易部署、可擴展、支持多種設備、聲明提供者不一樣於身份提供者

 

原文：http://openid.net/connect/faq/