在OIDC協議支援的模式中,專有一類Device Flow裝置模式,允許各類終端或硬體,通過IDaaS完成登入流程。
由於終端的顯示模式可能受限,無法內建登入頁面,OIDC裝置模式將使用者的登入流程與裝置分開,允許使用者使用外部瀏覽器,完成登入。
說明
本文檔講解OIDC裝置模式的情境與流程,詳細介面文檔請參考:OIDC Device Flow介面說明。
系統間時序圖如下:
步驟一、登入準備
登入準備階段無需使用者參與,終端或裝置與IDaaS進行互動,擷取到使用者口令user_code,裝置口令device_code,登入地址verification_url。
其中,使用者口令和登入地址需要展示給使用者,並請使用者在任意瀏覽器中開啟登入地址,輸入使用者口令,進行登入流程。
說明
若裝置允許,可以將使用者口令拼接在登入地址:{{verification_url}}?user_code={{user_code}},並提供超連結,或產生為二維碼。使用者在訪問該地址時,將無需手動輸入user_code,省時便捷。
在擷取到上述資訊後,終端應開始到IDaaS的輪詢請求,擷取登入結果。
步驟二、瀏覽器登入授權
使用者開啟登入地址verification_url後,將按照下圖順序進行操作,完成登入。
登入成功後,使用者可切換回終端/裝置查看結果。終端/裝置發起的輪詢將會返回認證成功資訊,其中包含使用者的id_token。
可以使用IDaaS OIDC應用中提供的JWKS端點,擷取應用的公開金鑰資訊,並使用公開金鑰進行驗簽,確定登入有效,拿到使用者標識,順利登入。