OAuth2协议:
http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html
Bearer Token、MAC Token区别:
https://blog.csdn.net/weixin_39973810/article/details/84673548
基于四种授权模式实例:
https://github.com/tianbogit/OAuth2.Demo
IdentityServer4官方文档:
https://identityserver4.readthedocs.io/en/latest/quickstarts/1_client_credentials.html
实例:
运行流程:
https://segmentfault.com/a/1190000013467122
参考博客:
https://www.cnblogs.com/stulzq/p/8119928.html
OAuth只有授权(access_token)没有身份认证,OpenID connect(开放授权认证标准协议) 是OAuth2(授权标准协议)的升级版,IdentityServer4就是基于这两种协议实现一个授权认证中间件。
在OpenID connect中使用id_token进行身份认证。
其中:granttypes.hybrid
所有的令牌都通过浏览器传输,这对于身份令牌来说是完全不错的。 现在我们也想要一个访问令牌。访问令牌比身份令牌更加敏感,如果不需要,我们不想让它们暴露于“外部”世界。 OpenID Connect包含一个名为“混合流”的流程,它可以让我们两全其美,身份令牌通过浏览器通道传输,因此客户端可以在做更多的工作之前验证它。 如果验证成功,客户端会打开令牌服务的后端通道来检索访问令牌。
id token(身份令牌)前端传递,access_token(访问令牌)由客户端(后端服务器)向OP访问
OIDC:
https://www.cnblogs.com/linianhui/p/openid-connect-core.html