从 OP 处获得 Claim 信息的应用。
UserInfo Endpoint:用户信息的接口,当 RP 使用 Access token 请求该接口时,能够返回当
前用户的身份信息。
OIDC 协议簇
OIDC 由一系列规范文档组成,包括一个核心文档和多个可选支持的文档来提供扩展支持:
Core:必选。定义了 OIDC 核心的功能,在 OAuth 2.0 之上构建身份认证,以及使用声明
(如身份证上的简要描述)方式来传递用户的信息。
Discovery:可选。定义了第三方应用如何动态发现 OIDC 服务提供方元数据文档(比如提
供的服务地址,采用的加密方法,支持的授权类型等等)。
Dynamic Registration:可选。定义了第三方应用如何注册到 OIDC 身份提供方。
OAuth 2.0 Multiple Response Types:定义了几种新的为 OAuth2.0 响应方式(原来常见的授
权码 code、隐式授权 token 基础上增加了 id_token 以及混合 code、token 和 id_token 的方
式)。
OAuth 2.0 Form Post Response Mode:可选。在 OAuth2.0 的响应参数上扩展了 OIDC 所需
的参数。提供了基于 form 表单响应信息的模式,使用 post 请求类型传给第三方应用,响应
参数以 application/x-www-form-urlencoded 格式存储 body 中。
RP-Initiated Logout:可选。定义了第三方应用如何注销当前登录用户的机制。
Session Management:可选。定义了如何管理 OIDC 上已登录用户的会话数据,以便当 OP
上的用户注销时,也能够方便在 RP 上注销。
Front-Channel Logout:可选。基于前端的注销机制,使得第三方应用不需要嵌入认证服务
方的 iframe 来注销。
Back-Channel Logout:可选。基于后端的注销机制,定义了 RP 和 OP 直接如何通信来完
成注销。
OpenID Connect Federation:可选。定义了如何在 OP 和 RP 间建立可靠的信任的机制。