SSO、OAuth2、与 OpenID connect

于 2024-10-12 09:02:17 发布
阅读量1k 收藏 28
点赞数 14
分类专栏: 让 Java 再次伟大! 文章标签: java 数据库 gradle docker spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ccmjga/article/details/142868531
版权

本系列文章的思想,都融入了 让 Java 再次伟大 这个全新设计的脚手架产品中,欢迎大家使用。

授权与认证

上一章我们一直在反复阐述一个事实: OAuth2 协议是用来解决用户对软件授权的。为何要如此强调这个事实呢?因为授权、认证、单点登录非常容易被混淆。
用户认证是指证明自己的身份。认证有时候会和授权一起使用,就像你去酒店必须首先用身份证证明你的身份,酒店才会授予你使用酒店服务的权利一样。

OAuth2 与 OIDC

今天要介绍的是 OpenID connect 简称 OIDC 是一个关于第三方用户认证的标准化协议。这个协议是建立在我们之前介绍的 OAuth2.0 的基础上的。这又是一个容易混淆的地方:虽然授权和认证在语义上明显不同,但是他们却使用类似的协议来解决问题。还记得之前我们谈到过 OAuth2.0 是一个授权协议,但是他的功能不仅仅如此。OAuth 可以被用来解决任何问题,身份认证就是其中一种。
于是,基于 OAuth 2.0 的协议流程,第三方用户认证协议 OpenID connect 就被设计出来了。所以 OIDC 是 OAuth2.0 的超集,但是认证并不是授权的超集。

OIDC 授权码许可类型流程简介

是的,OIDC 也有两种常用类型:授权码许可类型与隐式许可类型。由于 OIDC 在 OAuth2.0 的基础上被设计出来,所以 OAuth2.0 的流程基本上就是 OIDC 的流程。

在 OIDC 的流程中,相对 OAuth2.0 有 3 个变化。

  1. 授权服务器 + 资源服务器 = 认证服务器。
  2. 根据授权码获取的 token 中包含 id_token。
  3. 用户详情可以使用 UserInfo 端点获取。
    认证服务器的变化很容易理解,由于身份认证不需要使用特定资源只需要对身份认证,所以整合了授权服务器和资源服务器合并为认证服务器。
    但是单独设计 id_token 的理由是什么呢?在授权的场景中,access_token 在协议中是对客户端透明的,不需要被解析。而身份认证需要告诉客户端用户的具体身份;另外 access_token 的用处是访问受保护资源,这是属于授权的概念而不是属于身份认证的概念;最后授权的有效时间和身份认证的有效时间很可能不一样,所以单独设计了 id_token。

id_token 是一个内容基于 jwt 格式的身份令牌(结构如下)。客户端通过解析这个令牌获取用户的登录认证数据以后,就可以为用户提供基于认证中心的第三方登录功能了。

当然偶尔这个 jwt 的有效载荷会更加充实一点:

{
  "iss": "http://server.example.com",
  "sub": "248289761001",
  "aud": "s6BhdRkqt3",
  "nonce": "n-0S6_WzA2Mj",
  "exp": 1311281970,
  "iat": 1311280970,
  "name": "Jane Doe",
  "given_name": "Jane",
  "family_name": "Doe",
  "gender": "female",
  "birthdate": "0000-10-31",
  "email": "janedoe@example.com",
  "picture": "http://example.com/janedoe/me.jpg"
}

至于 UserInfo 端点,由于 jwt 格式的 id_token 并不包含过多的用户业务信息,而在用户体验上客户端又需要向用户展示头像、昵称等内容,所以 OIDC 定义了客户端可以使用 access_token 访问 UserInfo 端点获取用户详情的标准化接口。

HTTP/1.1 200 OK
Content-Type: application/json

  {
   "sub": "example@hotmail.com",
   "name": "example",
   "given_name": "example",
   "family_name": "example",
   "preferred_username": "example@hotmail.com",
   "email": "example@gmail.com"
  }

同时这也是 access_token 用于访问受保护资源,id_token 用于身份认证的一次结合应用。
说了这么多,那学习 OIDC 有什么用呢? OIDC 的其中一个用处就是可以用来构建一个单点登录系统(SSO)。

一个标准化的 SSO 场境

假设企业为了自身的运营需要分别部署了 2 个系统:「A、B」。两个系统上线时间不同,提供的业务服务不同,用户体系与认证逻辑不同。所以这两个系统是完全「互不相通」的。
现在需要在不影响现有系统逻辑的前提条件下,提供「一次登陆、多端有效」的功能。

经过构思,我们决定构建统一登陆中心;接着让两个系统都认可统一登陆中心的认证结果,来达到「最小化改动」现有系统的前提下实现 SSO 的功能。回顾上面的知识,OIDC 协议中的身份认证服务器就可以满足这一要求。

SSO 单点登录系统

注意这也是一个容易搞错的知识点:没有任何规定要求必须使用 OIDC 来构建 SSO。实际上你完全可以不使用 OIDC,或是使用 OIDC 的隐式许可类型流程来构建一个 SSO,这都完全取决于你的选择,况且互联网上运行的大部分 SSO 都并没有严格遵守 OIDC 规范。

微服务中的认证授权:OAuth2OpenID Connect 实现
mmc123125的博客
01-06 1496
OAuth2(Open Authorization 2)是一个授权框架,它允许第三方应用在用户不需要暴露密码的情况下,代表用户访问资源。OAuth2 主要专注于授权——即用户是否允许第三方应用访问其资源。它本身不处理用户身份验证的问题,但却提供了灵活的授权方式,帮助解决身份验证授权分离的问题。资源所有者(Resource Owner):通常是用户,拥有某些需要保护的资源。客户端(Client):需要访问资源的应用程序。授权服务器(Authorization Server)
通过Keycloak API理解OAuth2OpenID Connect
锐意工作室
01-16 1万+
文章目录通过Keycloak API理解OAuth2OpenID Connect前言OAuth2 介绍OAuth2核心概念OAuth2 核心数据JWTOAuth2 flowAuthorization Code Flow安装和运行Keycloak配置Keycloak访问Keycloak新增Realm新增Client新增Role新增UserKeycloak配置列表测试调用Keycloak的APIKeycloak endpoints用Postman测试访问Keycloak endpoints获取Authoriz
OpenID ConnectOAuth 2.0协议之上的简单身份层
weixin_30532973的博客
09-09 357
OpenID Connect是什么?OpenID Connect(目前版本是1.0)是OAuth 2.0协议(可参考本人此篇:OAuth 2.0 / RCF6749 协议解读)之上的简单身份层,用 API 进行身份交互的框架,允许客户端根据授权服务器的认证结果最终确认用户的身份,以及获取基本的用户信息;它支持包括Web、移动、JavaScript在内的所有客户端类型;它是可扩展的协议,允许你使...
OAuthOpenID的区别
weixin_34267123的博客
06-28 247
前面两篇文章(OAuthOpenID)都说了可以用来认证身份,但是他们之间到底有哪些不同,哪些情况应该用OAuth,哪些情况应该用OpenID呢?下面就一起来看下他们之间的区别。 简短的说,OAuth关注的是authorization;而OpenID侧重的是authentication。从表面上看,这两个英文单词很容易混淆,但实际上,它们的含义有本质的区别: authorization:...
OAuth2.0 授权 & OpenID Connect 身份认证
weixin_43294560的博客
06-06 1840
【代码】OAuth2.0 授权 & OpenID Connect 身份认证。
[OIDC in Action] 1. 基于OIDC(OpenID Connect)的SSO
weixin_34240657的博客
11-26 637
在[认证授权]系列博客中,分别对OAuth2和OIDC在理论概念方面进行了解释说明,其间虽然我有写过一个完整的示例(https://github.com/linianhui/oidc.example),但是却没有在实践方面做出过解释。在这里新开一个系列博客,来解释其各种不同的应用场景。因为OIDC是在OAuth2之上的协议,所以这其中也会包含OAuth2的一些内容。 OIDC协议本身有很多的开源...
OAuth 2.0 和 OpenID Connect 的基本原理和区别(干货)
qq_24550639的博客
12-13 1万+
基本原理 首先要明确OAuth OpenID Connect学习起来比较难,对谁都会比较难,所以心态要放好,因为有很多专业属于、缩写等等,你要是之前不知道,就基本上很难看懂。而且OAuthOpenID Connect不像HTTP这样的协议,有固定的格式,OAuthOpenID Connect其实没有很固定的格式,没有人告诉你,一定要怎么做。 所以本文都是大白话,让大家更容易看懂。 为什么要用OAuth 和 OIDC来做授权和身份验证? 原来,是怎么进行身份验证的? 简单的表格登录验证模式,密码哈希存在数
使用OAuth 2 / OpenID ConnectSSOSpring Boot 2本机方法
最佳 Java 编程
06-08 2678
这篇文章是3个系列文章的最后一部分,该系列文章探讨了为基于Spring Boot 2的应用程序启用OSO2提供程序SSO的方法。 3个帖子是: 引导兼容OpenID ConnectOAuth2授权服务器/ OpenID提供程序的方法 OAuth2授权服务器/ OpenID提供程序集成的旧版Spring Boot / Spring 5方法 OAuth2授权服务器/ Open...
oxd:使用OAuth 2.0,OpenID Connect和UMA保护应用程序安全的客户端软件
05-19
**oxd:OAuth 2.0,OpenID ConnectUMA安全应用的客户端软件** oxd是由Gluu公司开发的一款强大的中间件服务,专为Web应用程序开发者设计,旨在简化用户认证和授权流程,同时利用外部OAuth 2.0身份提供程序(IdP)...
OAuth2OpenID Connect简介
diezuo9326的博客
09-29 1106
当我们在登录一些网站的时候,需要第三方的登录。比如,现在我们要登录简书https://www.jianshu.com/sign_in,我们使用微博登录,点击下方的一个微博的小按钮,就会出现这么一个地址https://api.weibo.com/oauth2/authorize?client_id=1881139527&redirect_uri=http%3A%2F%2Fwww.j...
openID_Auth2:OpenID ConnectOAuth 2允许您的应用使用现代安全协议并参多个应用的​​单点登录(SSO)体验
04-28
TestOpenID 该项目是使用版本6.0.8生成的。 开发服务器 为开发服务器运行ng serve 。 导航到http://localhost:4200/ 。 如果您更改任何源文件,该应用程序将自动重新加载。 代码脚手架 运行ng generate component component-name生成一个新的组件。 您还可以使用ng generate directive|pipe|service|class|guard|interface|enum|module 。 建造 运行ng build来构建项目。 构建工件将存储在dist/目录中。 使用--prod标志进行生产构建。 运行单元测试 运行ng test以通过执行单元测试。 运行端到端测试 运行ng e2e通过执行端到端测试。 进一步的帮助 要获得有关Angular CLI的更多帮助,请使用ng help或查看 。 openID
微信登录-Oauth2.0获取用户openid、头像、昵称等相关信息
02-14
使用asp开发的微信登录-Oauth2.0获取用户openid、头像、昵称等相关信息,用于公众号相关应用开发。
图解OAuth 2.0协议族(十二):OpenID Connect(OIDC)协议
yunyun1886358的专栏
11-07 1541
OpenID Connect(OIDC)协议 OpenID Connect(OIDC)协议,一个基于OAuth 2.0的认证和身份协议,有效的填补了OAuth 2.0对于认证部分的缺失,但是对于具体如何去认证用户,并没有做明确的规定。OIDC还定义了身份提供者发现协议,客户端动态注册协议,以增强协议生态的伸缩性。 OAuth 2.0和OIDC主要角色之间的映射关系如下: 用户 user --> 资源拥有者 reource owner 依赖方 Relying Party --> 客户端 c
OAuth2OpenID Connect 服务器项目教程
最新发布
gitblog_00316的博客
09-04 827
OAuth2OpenID Connect 服务器项目教程 oauth2-openid-connect-serverAn OpenID Connect Server plugin for The PHP League's OAuth2 Server项目地址:https://gitcode.com/gh_mirrors/oa/oauth2-openid-connect-server 项目介绍 ...
OAuth 2.0 OpenID Connect 协议的完整指南
paolei的笔记
07-02 3181
本文由 Haseeb Anwar 发表在 medium,经原作者授权由 InfoQ 中文站翻译并分享。 我们都在网站或者手机应用中见过“谷歌登陆”和“绑定 Facebook“这样的按钮。如果你点击这个按钮,就会有一个窗口弹出并显示“这个应用想要访问你的公共个人主页、通讯录……“,同时它会询问你是否授权。概括而言,这就是 OAuth。对于每个软件工程师、安全专家甚至是黑客,理解这些协议都是非常重要的。 前言 本文是一篇关于 OAuth 2.0 OpenID Connect 协议的完整指南,这
[转]OAuthOAuth2OpenID区别和联系
weixin_30735391的博客
08-17 327
OAuthOAuth2OpenID区别和联系 (2014-07-31 11:28:41) 转载地址:http://blog.sina.com.cn/s/blog_4adc4b090102uyhw.html OAuth(开放授权)是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三...
基于OIDC(OpenID Connect)的SSO(纯JS客户端)
dotNET跨平台
12-02 8071
在上一篇基于OIDC的SSO的中涉及到了4个Web站点: oidc-server.dev:利用oidc实现的统一认证和授权中心,SSO站点。 oidc-client-hybrid.dev:oidc的一个客户端,采用hybrid模式。 oidc-client-implicit.dev:odic的另一个客户端,采用implicit模式。 oidc-client-js.dev
SSO的通用标准OpenID Connect
热门推荐
程序那些事
12-15 1万+
OpenID Connect简称为OIDC,已成为Internet上单点登录和身份管理的通用标准。 它在OAuth2上构建了一个身份层,是一个基于OAuth2协议的身份认证标准协议。 OAuth2实际上只做了授权,而OpenID Connect在授权的基础上又加上了认证。 OIDC的优点是:简单的基于JSON的身份令牌(JWT),并且完全兼容OAuth2协议。 今天我们将会介绍一下OIDC的具体原理。
理解OAuth2.0OpenID Connect:授权身份验证
OAuth2OpenID Connect 是互联网安全领域中两个重要的标准协议,主要用于授权和身份验证。它们通常用于解决用户如何安全地允许第三方应用访问其在另一服务(如 Google 或 Facebook)上的个人数据,而无需直接分享...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值