Django-OAuth-Toolkit中的OpenID Connect集成指南

Django-OAuth-Toolkit中的OpenID Connect集成指南

【免费下载链接】django-oauth-toolkit OAuth2 goodies for the Djangonauts! 项目地址: https://gitcode.com/gh_mirrors/dj/django-oauth-toolkit

什么是OpenID Connect

OpenID Connect（简称OIDC）是基于OAuth 2.0协议的身份认证层，它为OAuth 2.0添加了身份验证功能。在Django-OAuth-Toolkit中集成OIDC可以带来以下优势：

• 生成ID令牌（JWT格式），包含用户认证信息
• 提供标准的元数据自动发现机制
• 包含用户信息端点(UserInfo)，应用可查询更多用户数据

启用OIDC支持

OIDC在Django-OAuth-Toolkit中默认不启用，需要额外配置。系统支持两种JWT签名算法：

1. RS256（推荐）：使用RSA非对称密钥对（公钥+私钥）
2. HS256：使用对称密钥（客户端密钥）

RS256配置步骤

1. 生成RSA私钥：

   openssl genrsa -out oidc.key 4096
   

2. 安全存储私钥：

   • 不要将私钥提交到版本控制系统
   • 推荐使用安全存储系统如Hashicorp Vault
   • 通过环境变量注入到应用中

3. 配置settings.py：

   import os
   
   OAUTH2_PROVIDER = {
       "OIDC_ENABLED": True,
       "OIDC_RSA_PRIVATE_KEY": os.environ.get("OIDC_RSA_PRIVATE_KEY"),
       "SCOPES": {
           "openid": "OpenID Connect scope",
           # 其他作用域...
       },
       # 其他配置...
   }
   

HS256配置（不推荐）

仅适用于非公开客户端：

OAUTH2_PROVIDER = {
    "OIDC_ENABLED": True,
    "SCOPES": {
        "openid": "OpenID Connect scope",
        # 其他作用域...
    },
    # 其他配置...
}

密钥轮换策略

对于RS256密钥，建议定期轮换：

1. 生成新密钥并添加到OIDC_RSA_PRIVATE_KEYS_INACTIVE设置
2. 部署应用
3. 交换活跃和非活跃密钥
4. 等待足够时间（至少ID_TOKEN_EXPIRE_SECONDS）后移除旧密钥

OIDC流程类型

Django-OAuth-Toolkit支持三种OIDC流程：

1. 授权码流程（最安全）

• 创建应用时选择"Authorization code"授权类型
• 选择签名算法
• 请求必须包含openid作用域

2. 隐式流程

• 创建应用时选择"Implicit"授权类型
• 选择签名算法
• 配置客户端请求openid作用域和OIDC响应类型

3. 混合流程

• 创建应用时选择"OpenID connect hybrid"授权类型
• 选择签名算法

自定义OIDC响应

通过创建自定义验证器来扩展默认行为：

from oauth2_provider.oauth2_validators import OAuth2Validator

class CustomOAuth2Validator(OAuth2Validator):
    # 扩展标准作用域
    oidc_claim_scope = OAuth2Validator.oidc_claim_scope
    oidc_claim_scope.update({"permissions": "permissions"})

    def get_additional_claims(self):
        return {
            "given_name": lambda request: request.user.first_name,
            "family_name": lambda request: request.user.last_name,
            "email": lambda request: request.user.email,
            "permissions": lambda request: list(request.user.get_group_permissions()),
        }

然后在settings.py中配置：

OAUTH2_PROVIDER = {
    "OAUTH2_VALIDATOR_CLASS": "my_project.oauth_validators.CustomOAuth2Validator",
    # 其他配置...
}

用户信息端点

自定义UserInfo端点返回的信息：

class CustomOAuth2Validator(OAuth2Validator):
    def get_userinfo_claims(self, request):
        claims = super().get_userinfo_claims(request)
        claims["custom_field"] = "custom_value"
        return claims

RP-Initiated登出

启用RP发起的登出功能：

OAUTH2_PROVIDER = {
    "OIDC_ENABLED": True,
    "OIDC_RP_INITIATED_LOGOUT_ENABLED": True,
    "OIDC_RP_INITIATED_LOGOUT_ALWAYS_PROMPT": True,
    # 其他配置...
}

OIDC提供的视图

启用OIDC后会添加以下视图：

1. 发现信息视图：/.well-known/openid-configuration
2. JWKS视图：/.well-known/jwks.json
3. 用户信息视图：/userinfo/
4. RP发起的登出视图：/logout/

最佳实践建议

1. 优先使用RS256算法而非HS256
2. 妥善保管私钥，定期轮换
3. 授权码流程是最安全的选择
4. 谨慎选择ID令牌中包含的声明
5. 为生产环境配置适当的令牌过期时间

通过合理配置Django-OAuth-Toolkit的OIDC支持，您可以构建安全、标准的身份认证系统，轻松与其他符合OIDC标准的系统集成。

【免费下载链接】django-oauth-toolkit OAuth2 goodies for the Djangonauts! 项目地址: https://gitcode.com/gh_mirrors/dj/django-oauth-toolkit