授权认证

OAuth2协议：

http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html

 

Bearer Token、MAC Token区别:

https://blog.csdn.net/weixin_39973810/article/details/84673548

 

基于四种授权模式实例：

https://github.com/tianbogit/OAuth2.Demo

 

IdentityServer4官方文档：

https://identityserver4.readthedocs.io/en/latest/quickstarts/1_client_credentials.html

 实例：

https://github.com/IdentityServer/IdentityServer4/tree/master/samples/Quickstarts/1_ClientCredentials

 

运行流程：

https://segmentfault.com/a/1190000013467122

 

参考博客:

https://www.cnblogs.com/stulzq/p/8119928.html

 

 

 OAuth只有授权（access_token）没有身份认证，OpenID connect（开放授权认证标准协议） 是OAuth2（授权标准协议）的升级版，IdentityServer4就是基于这两种协议实现一个授权认证中间件。

 在OpenID connect中使用id_token进行身份认证。

 

其中：granttypes.hybrid 

所有的令牌都通过浏览器传输，这对于身份令牌来说是完全不错的。 现在我们也想要一个访问令牌。访问令牌比身份令牌更加敏感，如果不需要，我们不想让它们暴露于“外部”世界。 OpenID Connect包含一个名为“混合流”的流程，它可以让我们两全其美，身份令牌通过浏览器通道传输，因此客户端可以在做更多的工作之前验证它。 如果验证成功，客户端会打开令牌服务的后端通道来检索访问令牌。

 

id token（身份令牌）前端传递，access_token(访问令牌)由客户端（后端服务器）向OP访问

 

 

OIDC:

https://www.cnblogs.com/linianhui/p/openid-connect-core.html