【权限管理】OpenID Connect(OIDC)

原创 已于 2025-08-07 09:37:20 修改 · 1.2k 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#权限 #认证 #OAuth #openid

于 2025-01-08 16:15:06 首次发布

OpenID Connect(OIDC) 是基于 OAuth 2.0 协议的身份认证协议,它允许客户端应用程序验证用户的身份,并获取与用户相关的基本信息(如名称、邮箱等)。与 OAuth 2.0 主要关注授权不同,OpenID Connect 专注于提供用户身份验证功能。它是目前互联网上常见的身份认证协议,广泛用于第三方登录服务(如 微信、支付宝、抖音、Google、Facebook 等)以及企业级应用。

OpenID Connect 简介

OpenID Connect 是建立在 OAuth 2.0 协议之上的,它扩展了 OAuth 2.0 的功能,提供了用户身份认证的功能。它提供了一种标准化的方式,让用户可以在不同的应用程序中进行统一的身份验证,而无需为每个应用设置单独的登录信息。

OpenID Connect 通过 JWT(JSON Web Token)作为身份验证的载体,提供了认证信息和授权信息的整合,使得用户可以通过一个身份提供商(Identity Provider, IdP)在多个应用间共享认证状态。

OpenID Connect 工作流程

OpenID Connect 的认证过程是基于 OAuth 2.0 的授权流程的,以下是典型的认证过程(以授权码模式为例):

  1. 用户请求登录应用:用户访问需要身份验证的应用(客户端)。
  2. 客户端重定向到 OpenID Connect 提供商:应用(客户端)将用户重定向到 OpenID Connect 提供商的授权服务器,要求用户登录并授权。
  3. 用户输入凭证并授权:用户输入凭证(如用户名和密码),并授权客户端访问他们的身份信息。
  4. 授权码返回给客户端:授权服务器将用户的授权码返回给客户端。
  5. 客户端交换授权码获取 ID Token 和 Access Token:客户端将授权码发送给授权服务器,授权服务器返回 ID Token(身份令牌)和 Access Token(访问令牌)。
  6. 客户端验证 ID Token:客户端验证 ID Token,确认用户身份并授权访问其他资源。

OpenID Connect 的关键组件

  1. ID Token:ID Token 是一个 JWT(JSON Web Token),包含了用户的身份信息。它包含了用户的基本信息(如用户 ID、电子邮件等),并由身份提供商(IdP)签名确保其真实性。
  2. Access Token:Access Token 用于授权客户端访问用户的受保护资源。它通常是 OAuth 2.0 的令牌,可以与资源服务器一起使用。
  3. Refresh Token:Refresh Token 用于获取新的 Access Token。它通常会在 Access Token 过期后由客户端请求新的 Access Token。
  4. Authorization Code:授权码是 OAuth 2.0 中的一个中间产物,它是客户端从授权服务器获取授权后,用来交换 ID Token 和 Access Token 的凭证。

OpenID Connect 的身份验证流程

OpenID Connect 的身份验证流程可以概括为以下几个步骤:

  1. 用户访问客户端应用:用户在浏览器中访问需要身份验证的客户端应用。
  2. 客户端请求身份验证:客户端将用户重定向到 OpenID Connect 提供商的授权服务器,附带参数如客户端 ID、重定向 URI、请求的作用域(openid 是必须的)等。
  3. 用户登录授权:用户输入凭证并授权客户端访问其身份信息。
  4. 授权码交换令牌:授权服务器将授权码发送到客户端的回调 URL,客户端使用授权码请求 ID Token 和 Access Token。
  5. 验证 ID Token:客户端验证 ID Token,确保其有效性,然后可以获得用户信息并完成身份验证。

OpenID Connect 的常见协议与实现

OpenID Connect 是基于 OAuth 2.0 协议构建的,使用 OAuth 2.0 的授权流程来实现身份认证。OpenID Connect 主要通过以下几种方法来提供用户身份验证:

1. 授权码模式(Authorization Code Flow)

这是最常用的方式,适用于需要后台服务器和浏览器进行交互的客户端(如 Web 应用)。此流程包括通过授权码交换 ID Token 和 Access Token 的步骤。

2. 隐式模式(Implicit Flow)

隐式模式适用于只通过浏览器进行交互的客户端(如单页应用)。这种方式会直接返回 ID Token 和 Access Token,而不需要通过授权码交换。

3. 密码模式(Resource Owner Password Credentials Flow)

密码模式适用于信任度较高的应用(如原生客户端)。用户直接将用户名和密码提供给客户端,客户端使用这些信息请求 ID Token 和 Access Token。

4. 客户端凭证模式(Client Credentials Flow)

客户端凭证模式用于机器对机器的身份验证,通常不涉及用户身份。它适用于服务端之间的通信。

OpenID Connect 的优势

  1. 简化的身份验证:用户只需在一个身份提供商处登录一次,即可在多个应用间共享身份认证状态,免去重复登录的麻烦。
  2. 基于标准的协议:OpenID Connect 是基于 OAuth 2.0 协议构建的,广泛支持且易于与现有的系统和平台集成。
  3. 安全性:OpenID Connect 使用 JWT(JSON Web Token)进行身份验证,并通过数字签名确保 ID Token 的安全性。
  4. 支持多种客户端:OpenID Connect 支持 Web 应用、移动应用、桌面应用等多种客户端,适应不同的应用场景。

如何实现 OpenID Connect

以下是一个使用 Spring Security 和 OpenID Connect 实现身份验证的示例。

  1. 添加依赖
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-oauth2-client</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

  1. 配置 OpenID Connect 客户端

application.yml 中配置 OpenID Connect 提供商信息。

spring:
  security:
    oauth2:
      client:
        registration:
          google:
            client-id: your-client-id
            client-secret: your-client-secret
            scope: openid, profile, email
            authorization-grant-type: authorization_code
            redirect-uri: "{baseUrl}/login/oauth2/code/{registrationId}"
        provider:
          google:
            authorization-uri: https://accounts.google.com/o/oauth2/v2/auth
            token-uri: https://oauth2.googleapis.com/token
            user-info-uri: https://openidconnect.googleapis.com/v1/userinfo

  1. 配置 Spring Security
@Configuration
@EnableWebSecurity
public class SecurityConfig {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/login", "/oauth2/**").permitAll()
                .anyRequest().authenticated()
            .and()
            .oauth2Login()
                .defaultSuccessUrl("/home", true)
                .failureUrl("/login?error=true");
        return http.build();
    }
}

  1. 运行应用并测试

启动应用并访问 /login,系统会自动跳转到 OpenID Connect 提供商(如 Google)进行登录,成功登录后会重定向到应用的首页。

总结

OpenID Connect 是一种基于 OAuth 2.0 的认证协议,它扩展了 OAuth 2.0 提供的授权功能,专注于用户身份验证。通过 OpenID Connect,用户只需登录一次,即可跨多个应用共享认证状态。它已经成为互联网中最常用的身份验证协议,广泛应用于企业级应用、社交登录以及移动应用等场景。

OpenID ConnectOIDC)协议
ttyy1112的专栏
03-04 670
以下是OpenID ConnectOIDC)协议的详细介绍和时序图。OIDC是基于OAuth 2.0的身份验证协议,用于实现跨系统的单点登录(SSO)。
(精华)2020年9月25日 微服务 单点登录和身份认证(OpenID Connect)
热门推荐
时光隧道
09-06 45万+
if (!(Test-Path -Path $PROFILE)) { New-Item -ItemType File -Path $PROFILE -Force }
OAuth2.0与OpenID Connect技术解析:现代数字世界的“钥匙与身份证”
最新发布
开源代码仓:https://gitcode.com/openHiTLS/openhitls
10-15 859
OAuth2.0与OpenID Connect是现代数字身份管理的核心协议组合。OAuth2.0作为授权框架,通过临时令牌实现资源的安全访问授权;OpenID Connect在其基础上提供标准化的身份认证,采用JWT格式的ID Token传递可靠用户信息。二者配合解决了"授权"与"认证"的双重需求,典型应用如微信登录。这套机制通过授权码流程、PKCE增强等安全设计,在保证安全性的同时优化用户体验,实现单点登录功能,体现了安全、便利与标准化的平衡艺术。
OpenID Connect
gitblog_00073的博客
03-16 1076
OpenID Connect OpenID Connect是一个简单且开放的认证协议,它允许任何网站或应用程序通过HTTP/HTTPS与身份提供者进行安全的身份验证交互。这是一种基于OAuth 2.0协议的扩展,可以将身份验证过程简化为一个简单的步骤。 什么是OpenID ConnectOpenID Connect是一种用于实现Web应用、移动应用和API的安全身份验证的标准协议。该协议在OA...
Openid Connect(OIDC)
goddessblessme的博客
04-19 1441
它在OAuth2上构建了一个身份层,是一个基于OAuth2协议的身份认证标准协议。解决认证问题。OIDCOAuth2的access_token的基础上增加了身份认证信息, 通过公钥私钥配合校验获取身份等其他信息—– 即idToken。
OpenID ConnectOAuth 2.0协议之上的简单身份层
weixin_30532973的博客
09-09 448
OpenID Connect是什么?OpenID Connect(目前版本是1.0)OAuth 2.0协议(可参考本人此篇:OAuth 2.0 / RCF6749 协议解读)之上的简单身份层,用 API 进行身份交互的框架,允许客户端根据授权服务器的认证结果最终确认用户的身份,以及获取基本的用户信息;它支持包括Web、移动、JavaScript在内的所有客户端类型;它是可扩展的协议,允许你使...
C#中的OpenID Connect(OIDC):实现安全认证与授权
09-13
OpenID ConnectOIDC)作为一个基于OAuth 2.0的认证层,提供了一种简单而强大的方式来实现用户认证。本文将详细介绍OIDC的基本概念、如何在C#中实现OIDC,以及如何在ASP.NET Core应用程序中集成OIDCOpenID ...
drf-oidc-auth:Django REST框架的OpenID Connect身份验证
05-15
JWT令牌将针对OpenID连接授权服务的公钥进行验证。 承载令牌用于检索OpenID UserInfo,以便用户识别他。 安装 使用pip安装: pip install drf-oidc-auth 在settings.py中配置Django REST框架的身份验证: REST_...
精选资源
OpenID-Connect-Java-Spring-Server:Spring平台上Java中的OpenID Connect参考实现
02-23
该服务器可用作OpenID Connect身份提供程序以及通用OAuth 2.0授权服务器。 可以找到有关该项目的更多信息: 您可以在mitreid-connect@mit.edu上找到该项目的邮件列表,并提供。 该项目的作者和主要贡献者包括: ...
oidc-auth-manager:一个OpenID ConnectOIDC)身份验证管理器(OP,RP和RS),用于分散的对等身份验证
05-06
**oidc-auth-manager** 是一个基于OpenID Connect (OIDC) 的身份验证管理器,它集成了身份提供者(OP)、依赖方(RP)和资源服务器(RS)的功能,为分布式身份验证提供了一种解决方案。这个项目的目标是实现一个分散...
什么是OpenID Connect
分享前端开发工程师的一些日常生活、前端知识点、职业发展、对一些问题的看法、感悟等等
07-07 858
区分认证和授权 上文我们所知,OAuth 解决了代理授权的问题,但是它没有提供一个认证用户身份的标准方法。你可以这样认为: OAuth2.0 用于授权 OpenID Connect 用于认证 如果你无法区分这些术语,则以下是它们之间的区别: 认证(Authentication)是确保通信实体是其所声称的实体。 授权(Authorization)是验证通信实体是否有权访问资源的过程。 换言之,认证关注的是你是谁,授权关注的是你有什么权限OpenID Connect OpenID Connect
openid_connect:OpenID Connect服务器和客户端库
05-13
OpenIDConnect OpenID Connect服务器和客户端库 安装 gem install openid_connect 资源 在GitHub上查看源代码( ) 在GitHub上报告问题( ) 订阅更新信息( ) 例子 提供者¶ ↑ 在Heroku上运行( connect-op.herokuapp.com ) 来源GitHub( github.com/nov/openid_connect_sample ) 简单版本( github.com/nov/openid_connect_sample2 ) 依赖方¶ ↑ 在Heroku上运行( connect-rp.herokuapp.com ) GitHub上的源代码( github.com/nov/openid_connect_sample_rp ) 以下还有使用此gem的OpenID Foudat
SSO的通用标准OpenID Connect
程序那些事
12-15 1万+
OpenID Connect简称为OIDC,已成为Internet上单点登录和身份管理的通用标准。 它在OAuth2上构建了一个身份层,是一个基于OAuth2协议的身份认证标准协议。 OAuth2实际上只做了授权,而OpenID Connect在授权的基础上又加上了认证OIDC的优点是:简单的基于JSON的身份令牌(JWT),并且完全兼容OAuth2协议。 今天我们将会介绍一下OIDC的具体原理。
OpenID Connect详解
zou8944的博客
12-26 1万+
OpenID Connect 1.0是建立在OAuth 2.0上的一个身份验证机制,它允许客户端通过授权服务对用户进行认证并获取简单的用户信息。 前置知识:读者需要了解OAuth2.0的授权码模式和隐藏模式两种工作流程,要了解JWT、JWE、JWS等概念。这在我的前两篇文章都有详细讲解 概览 名词解释 OP:OpenID Provider,即OAuth2.0中的授权服务,用于对用户鉴权 RP:Relying Part,依赖方,即OAuth2.0中的客户端,它从OP除获取对用户的鉴权和用户信息
OpenID Connect 是什么?
weixin_33971130的博客
07-25 3310
一、OpenID Connect的概念 1、OpenID Connect 是什么? OpenID Connect 是一套基于 OAuth 2.0 协议的轻量级规范,提供通过 API 进行身份交互的框架。 OpenID Connect 使用简单的REST / JSON消息,开发者可以轻松集成。 OpenID Connect 允许所有类型的客户,包括基于浏览器的JavaScript和本机移动应用程序。...
OIDCOpenID Connect)(基于OAuth2.0协议构建的身份验证Authentication和授权Authorization协议)身份提供商IdP、身份依赖方RP、单点登录SSO
Dontla的博客
08-13 766
协议构建的身份验证(Authentication)和授权(Authorization)协议,主要用于标准化用户登录和访问数字服务的流程。它通过添加一个身份层(Identity Layer)扩展了 OAuth 2.0 的功能,使服务能够验证用户身份并获取用户的基本信息。
【微服务安全】OpenID Connect 简介:现代应用程序的身份验证
surfirst的博客
02-16 1516
OpenID Connect (OIDC) 是一个建立在 OAuth 2.0 之上的开放身份验证协议。它简化了应用程序以一种标准化和可互操作的方式验证用户身份并获取其基本个人资料信息的方式。可以将其视为应用程序“知道你是谁”的一种安全方式,而无需你创建单独的帐户或透露你的密码。
openid connect是什么
leijmdas的专栏
05-26 538
3. **用户信息端点(UserInfo Endpoint)**:OIDC定义了一个受保护的端点,客户端可以利用它通过访问令牌(Access Token)来获取关于已认证用户的更详细的信息。1. **基于OAuth 2.0**:OIDC是在OAuth 2.0协议之上构建的,它使用OAuth 2.0的授权流程,并通过扩展OAuth 2.0的概念来实现身份认证。4. **授权码或ID令牌**:一旦用户认证成功,并且授权客户端访问资源,OP将返回一个授权码或直接返回ID令牌和访问令牌。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值