5.4.1. Протокол OpenID Connect

5.4.1.1. OIDC - семейство протоколов, являющихся расширением протоколов OAuth 2.0, позволяющих расширить их функционал путем более точного описания процесса аутентификации владельца ресурса и возможности клиенту получить информацию о нем. Это этапы (1) - (4) протокола OAuth 2.0 (см. рисунок 1).

5.4.1.2. Схематично протокол OpenID Connect выглядит следующим образом (см. рисунок 2):

1 Клиент отправляет серверу авторизации запрос аутентификации.

2 Сервер авторизации аутентифицирует конечного пользователя и получает согласие пользователя на доступ клиента к запрошенному ресурсу.

3 Сервер авторизации отвечает клиенту ID токеном и (опционально) токеном доступа.

4 Клиент может отправить серверу авторизации запрос информации о пользователе по токену доступа.

5 Сервер авторизации возвращает клиенту информацию о конечном пользователе.

Рисунок (не приводится)

5.4.1.3. Сервер авторизации OpenID Connect поддерживает три сценария аутентификации, реализующие этот сценарий: с генерацией кода авторизации (Authorization Code Flow), неявный сценарий (Implicit Flow), гибридный сценарий (Hybrid Flow). Настоящий стандарт не предполагает использование неявного сценария.

5.4.1.4. Передача сообщений между клиентом и сервером авторизации (на конечных точках авторизации, токена и UserInfo) должна производиться с использованием протокола TLS.

Примечание. Дополнительные сведения об OIDC приведены в документе [11].