1.3. 支持的协议

OpenID Connect (OIDC)是一个身份验证协议，它是 OAuth 2.0 的扩展。虽然 OAuth 2.0 只是用于构建授权协议的框架，但 OIDC 是一个完整的验证和授权协议。OIDC 还利用了一组标准的 Json Web 令牌 (JWT)。这些标准定义了身份令牌 JSON 格式，以及以紧凑和 Web 友好的方式对这些数据进行数字签名的方法。

使用 OIDC 时真正有两种类型的用例。第一个是要求红帽单点登录服务器为其验证用户的应用程序。成功登录后，应用将收到 身份 令牌和 访问令牌。身份令牌 包含有关用户的信息，如用户名、电子邮件和其他配置集信息。访问令牌 由域进行数字签名，包含应用可以使用的访问信息（如用户角色映射）来确定允许用户在应用上能够访问哪些资源。

第二种用例是希望获得远程服务的客户端。在这种情况下，客户端会要求 Red Hat Single Sign-On 获取可用于代表用户在其他远程服务上调用的访问令牌。Red Hat Single Sign-On 对用户进行身份验证，然后询问用户同意其请求客户端的权限。然后，客户端会接收 访问令牌。此 访问令牌 由域进行数字签名。客户端可以使用此 访问令牌 在远程服务上进行 REST 调用。REST 服务提取 访问令牌，验证令牌的签名，然后根据令牌中的访问信息决定是否处理请求。