OpenID Connect (OIDC) — это протокол, который решает задачу аутентификации пользователей и построен как расширение поверх OAuth 2.0. Если OAuth сам по себе занимается только авторизацией — то есть позволяет приложениям получить доступ к данным без передачи пароля, — то OIDC добавляет в эту схему идентификацию личности.
Когда используется OpenID Connect, стороннее приложение может не просто получить доступ к нужным ресурсам, но и узнать, кто именно вошёл в систему. Это достигается с помощью ID токена — специального безопасного объекта, в котором содержится подтверждённая информация о пользователе: его уникальный идентификатор, email, имя, время входа и другие сведения.
Процесс выглядит примерно так: пользователь нажимает кнопку «Войти через Google», попадает на страницу авторизации у Google, вводит свои данные, и после успешного входа обратно в приложение возвращается не только токен доступа, но и ID токен. Приложение проверяет его подпись и получает нужные данные о пользователе — всё это без хранения пароля и без необходимости заводить отдельную учётную запись.
OpenID Connect работает поверх уже проверенной модели OAuth 2.0, но чётко ориентирован именно на аутентификацию — то есть на то, чтобы убедиться, кто перед нами. Протокол поддерживается крупнейшими платформами: Google, Microsoft, Amazon, Apple, а также многими корпоративными SSO-решениями.
Преимущества OIDC:
– упрощённый вход для пользователей без регистрации;
– возможность централизованной идентификации (один аккаунт — много сервисов);
– безопасная передача данных профиля по защищённым каналам;
– стандартизованный формат, который легко интегрируется в веб- и мобильные приложения.
OpenID Connect сегодня стал основным выбором для аутентификации в API, облачных платформах, SaaS-сервисах и любых системах, где требуется надёжно определить личность пользователя, не создавая при этом сложностей с паролями и регистрациями.
Главное отличие между OAuth 2.0 и OpenID Connect заключается в том, что именно они делают.
- OAuth 2.0 — это протокол авторизации. Он позволяет одному сервису (например, приложению) получить ограничённый доступ к данным пользователя на другом сервисе (например, Google) — без передачи пароля. Но сам OAuth не говорит, кто пользователь. Он просто даёт ключ (токен), чтобы обратиться к данным от его имени.
- OpenID Connect — это протокол аутентификации, который строится поверх OAuth 2.0. Он добавляет к авторизации возможность узнать, кто вошёл в систему, с помощью специального ID токена. Благодаря этому OpenID Connect позволяет не только получить доступ, но и удостовериться в личности пользователя.
Проще говоря:
- OAuth 2.0 отвечает на вопрос: “Можно ли получить доступ к данным?”
- OpenID Connect отвечает на вопрос: “Кто этот пользователь?”
В современном мире эти два протокола часто работают вместе: OAuth выдаёт токен доступа, а OpenID Connect — ID токен с информацией о личности. Это делает связку удобной для приложений, которым нужно и знать пользователя, и обращаться к его данным на другом сервисе.
Переезд без стресса + 1 месяц бонусом
Бесплатно мигрируем проекты и дарим 1 месяц при оплате года.