OAuth 2.0 & OIDC 前后端认证逻辑深度解析 (以 Auth0 为例)

原创 于 2025-12-14 15:22:16 发布 · 794 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#authing

本文档旨在详尽解释在使用 Auth0 实现单页应用 (SPA) + 后端 API 认证时,前后端的具体校验逻辑,并汇总了常见的概念问题。

核心概念

在深入流程之前,先理解几个关键概念:

  • OAuth 2.0: 一个授权框架。它允许用户授权一个应用(客户端)代表他们去访问受保护的资源,而无需共享密码。核心是 Access Token
  • OpenID Connect (OIDC): 构建在 OAuth 2.0 之上的身份认证层。它在 OAuth 流程的基础上增加了 ID Token,用于告诉客户端“当前登录的用户是谁”。
  • 角色:
    • Resource Owner: 资源的所有者,即用户
    • Client: 请求访问资源的应用,即我们的前端 SPA (AskC UI)
    • Authorization Server: 负责验证用户身份并签发令牌的服务器,即 Auth0
    • Resource Server: 存放受保护资源的服务器,即我们的后端 API (AskC Backend)
  • Token 类型:
    • Access Token: 访问令牌(通常是 JWT 格式),用于授权访问后端 API。它的有效期相对较短。
    • ID Token: 身份令牌 (JWT),包含用户的身份信息(如 email, name, sub)。
    • Refresh Token: 刷新令牌,用于在 Access Token 过期后,以静默方式获取新的 Access Token,有效期很长。
  • 非对称加密 (RS256): Auth0 使用一对密钥(私钥和公钥)来签名 JWT。
    • 私钥: 只有 Auth0 拥有,用于签名
    • 公钥: 公开,用于验证签名。任何人都可以获取,但无法用它来伪造签名。

完整认证与 API 调用流程图

用户浏览器 (前端SPA)认证服务器GitHub后端API登录与授权阶段访问应用(1) 重定向到登录页(2) 用户选择GitHub登录, 重定向授权(3) 登录并授权GitHub(4) 回调 Auth0 (附带 Authorization Code for Auth0)(5) 回调前端 (附带 Authorization Code for SPA)前端在后台用 Code 交换 Token(6) 发送 Authorization Code + PKCE Verifier(7) 返回 Access Token (JWT) & ID Token(8) 存储 Token, 登录完成API 调用阶段(9) 发起 API 请求 (Header: "Authorization: Bearer <Access Token>")后端验证 Token(10) 获取公钥 (JWKS) [仅首次或缓存失效时](11) 使用公钥验证 Token 签名和内容(12) 返回 API 数据 (200 OK)(13) 拒绝请求 (401 Unauthorized)alt[Token 有效][Token 无效]用户浏览器 (前端SPA)认证服务器GitHub后端API

前端校验逻辑 (SPA)

前端的核心职责是获取和使用 Token,而不是验证它。

auth0-spa-js 的作用

这个库为我们处理了所有复杂的认证逻辑:

  1. 处理重定向: 安全地将用户重定向到 Auth0 并返回。
  2. PKCE 流程: 自动处理 Code Challenge 和 Verifier,取代了在前端使用 Client Secret 的不安全做法。
  3. 交换令牌: 在后台用一次性的 Authorization Code 向 Auth0 换取 Access Token 和 ID Token。
  4. 安全存储: 将获取到的 Token 存储在内存或浏览器的 localStorage 中。

Token 生命周期管理 (关键问题:Token 过期怎么办?)

前端不会等到后端校验失败才反应。auth0-spa-js 库通过 getTokenSilently() 函数实现了主动、智能的管理:

  1. 检查缓存: 当代码调用 getTokenSilently() 时,SDK 首先检查内存缓存中是否有一个未过期的 Access Token。如果有,直接返回,避免了不必要的网络请求。

  2. 静默刷新: 如果缓存中的 Token 已过期或不存在,SDK 会自动在后台(通过一个隐藏的 iframe)使用 Refresh Token 向 Auth0 请求一个新的 Access Token。

    • 成功: 新 Token 会被缓存并返回。这对用户完全透明,API 调用会无缝衔接。
    • 失败: 如果 Refresh Token 也失效了(例如用户长时间未活动),getTokenSilently() 会抛出错误。

  3. 处理失败: 在最坏情况下(静默刷新失败),API 请求会因缺少有效 Token 而被后端拒绝(返回 401)。前端的全局错误处理逻辑应该捕获这个 401 错误,并调用 login() 函数,引导用户重新登录。

后端校验逻辑 (API)

后端的职责是验证收到的每一个 Access Token,确保它是真实、有效、且未被篡改的。

为什么后端不需要 Client Secret?

如核心概念所述,后端作为资源服务器,只需验证 Token 的签名。由于 Token 是用 Auth0 的私钥签名的,后端只需获取 Auth0 的公钥即可验证,全程无需 Client Secret。

为什么公钥公开,JWT 却不能伪造?

这是非对称加密的核心。公钥只能用于验证,不能用于签名。黑客虽然能拿到公钥,但他没有对应的 Auth0 私钥,所以他无法制作出一个能通过公-钥验证的签名。任何由黑客自己签名的 JWT 都会在验证步骤中失败。

详细验证步骤 (Checklist)

一个健壮的后端 JWT 验证流程应包含以下所有检查:

  1. 从 HTTP 请求头 Authorization: Bearer <token> 中提取 Token。
  2. 解码 JWT(不验证),读取 Header 中的 alg(算法,应为 RS256)和 kid(密钥ID)。
  3. 从 Auth0 的 JWKS URI (https://<YOUR_AUTH0_DOMAIN>/.well-known/jwks.json) 获取公钥列表。
  4. 使用 kid 从列表中找到匹配的公钥。
  5. 使用公钥验证 Token 的签名。如果失败,立即拒绝。
  6. 验证 Payload (Claims)
    • iss (Issuer): 必须与您的 Auth0 Domain 完全匹配。
    • aud (Audience): 必须与您在 Auth0 中为该 API 配置的 Identifier (https://api.askc.dev) 匹配。
    • exp (Expiration Time): 必须是未来的一个时间戳。
    • 检查 sub (Subject) 来识别用户。
  7. 所有检查通过后,才认为请求是合法的。

Q&A 汇总

  • Authorization Code 的有效期是多久?

    • 非常短(默认1分钟),且只能使用一次。

  • 每次调用后端都要申请一次 Authorization Code 吗?

    • 不。Code 只在登录时用一次,用于换取 Access Token。后续 API 调用都使用 Access Token。

  • Access Token 的有效期是多久?

    • 可在 Auth0 API 设置中配置,通常是几小时(默认24小时)。它可以通过 Refresh Token 自动刷新。

  • 在哪里配置 Client Secret?

    • 前端:绝对不能配置。
    • 后端:在我们的场景下(验证用户 Token)不需要。只有当后端需要以自己的身份调用 Auth0 API 时才需要。
应用开发 | OAuth2.0OIDC协议应用实践(一)
小迅先生的博客
12-02 1598
本篇文章主要介绍OAuth2.0及OpenID Connect的相关概念及原理介绍,同时也提供了搭建OAuth2.0的授权服务方案及客户端应用实践
授权协议OAuth 2.0之通过OIDC实现SSO
wang0907的博客
04-24 2103
OIDC的全称是openid connect,和OAuth2.0一样,也是属于协议和规范的范畴。OAuth2.0是一种授权协议,即规定了的内容。而OIDCOAuth2.0的超集,不仅规定了,还定义了的内容,即OIDC不仅是授权协议,也是一种认证协议。实际上,OIDC也正是在OAuth2.0的基础上做了扩展,从而支持了身份认证的功能,如下图:1:受保护资源的拥有者一般是我们自己2:受保护的资源一般就是HTTP的接口形式的API,当然也可以是其他形式3:三方软件一般是希望拿到受保护资源的角色。
OAuth2.0 & OIDC1.0及落地方案
罗小爬的技术宝书
05-20 3929
本文介绍了OAuth2.0 & OIDC1.0的相关术语、授权模式及交互流程等,并站在不同角度论述了OAuth2.0 & OIDC1.0作为建设企业用户认证中心的落地思路,给出了不同客户端类型关于授权模式的选型建议,最后结合Spring Security OAuth2生态给了典型架构(前后端分离+微服务+应用网关)的集成示
OAuth2.0协议()、基于OAuth2.0OIDC认证协议
it_lihongmin的博客
01-12 2415
OIDC(OpenID Connect)协议建立在OAuth2.0协议的基础上,这里需要分清OAuth2.0是一个授权协议,而OIDC是一个认证协议,特别容易搞混。只是OAuth授权框架中包含了部分需要调用认证的信息,而IODC协议利用了OAuth2.0认证流程(或者利用了去管道、通道)并增加了输出了id_token和OpenId(认证结果和标识)。可以理解: IODC【OpenID Connect】 = OAuth2.0【授权协议】+ 身份认证; IODC定义了三个角色: EU(End...
开发者谈 | OAuth 2.0OIDC 协议的关系?(内含必看案
Authing的博客
08-17 2109
撰稿人:Authing 开发者 寻寻觅觅的 Gopher还记得那个吃披萨的子吗?《5000 字干货 | IDaaS 身份即服务背后的基石》一文中阐述了 SaaS,PaaS,IaaS 三者的区别。IDaaS 实际上就是一个基于 SaaS 模式的 IAM 解决方案,也就是云上的身份和访问管理服务,完全由受信任的第三方云服务厂商托管和管理。它允许企业使用单点登录、身份验证和访问控制来提供对任意接入的已实现标准协议应用的安全访问。而 IDaaS 背后,有两个支撑着其和和协议。...
单点登录 (SSO):SAML、OAuth 2.0OIDC 详解
weixin_47233946的博客
05-27 2107
单点登录 (Single Sign-On, SSO) 是一种身份验证方案,允许用户使用一组凭据(如,用户名和密码)登录多个独立的软件系统或应用。用户只需进行一次身份验证,即可访问所有授权的关联应用,无需在每个应用中重复输入凭据。
五分钟入门OAuth2.0OIDC
乌龟的专栏
03-13 678
五分钟入门OAuth2.0OIDC
OAuth2.0OIDC详解
乌龟的专栏
03-13 1064
OAuth2.0OIDC详解
OAuth2.0OIDC:在移动平台上实现API集成
AI天才研究院
06-30 6180
作者:禅与计算机程序设计艺术 OAuth2.0OIDC:在移动平台上实现 API 集成 摘要 本文主要介绍 OAuth2.0OIDC 技术,以及如何在移动平台上实现 API 集成。OAuth2.0 和 O
Spring OAuth2.0 OIDC详解
onePlus5T的博客
08-22 2948
OAuth2.0 OIDC详解
java实现oauth2.0服务端+客户端(含JWT)
12-15
- **OAuth2AuthenticationProvider**:处理OAuth 2.0认证的提供者,用于验证令牌的有效性。 - **OAuth2AccessTokenGenerator**:生成JWT访问令牌,包括设置有效时间、签发者等信息。 最后,测试和部署服务端和...
Spring Security 5.x+OAuth2.0+OIDC1.0
z2008g的专栏
05-29 1537
5分钟完成Spring Security+OAuth2.0+OIDC1.0集成
OAuth2.0 授权 & OpenID Connect 身份认证
weixin_43294560的博客
06-06 1992
【代码】OAuth2.0 授权 & OpenID Connect 身份认证
大学如何设置科研人员驻企服务的最短周期?.docx
12-16
大学如何设置科研人员驻企服务的最短周期?
ABAQUS仿真分析:金属压弯成型过程仿真(带参数化INP文件)
12-16
一、 内容概要 本资源提供了一个完整的&ldquo;金属板材压弯成型&rdquo;非线性仿真案,基于ABAQUS/Explicit或Standard求解器完成。案精确模拟了模具(凸模、凹模)与金属板材之间的接触、压合过程,直至板材发生塑性弯曲成型。 模型特点:包含完整的模具-工件装配体,定义了刚体约束、通用接触(或面面接触)及摩擦系数。 材料定义:金属板材采用弹塑性材料模型,定义了完整的屈服强度、塑性应变等真实应力-应变数据。 关键结果:提供了成型过程中的板材应力(Mises应力)、塑性应变(PE)、厚度变化​ 云图,以及模具受力(接触力)曲线,完整再现了压弯工艺的力学状态。 二、 适用人群 CAE工程师/工艺工程师:从事钣金冲压、模具设计、金属成型工艺分析与优化的专业人员。 高校师生:学习ABAQUS非线性分析、金属塑性成形理论,或从事相关课题研究的硕士/博士生。 结构设计工程师:需要评估钣金件可制造性(DFM)或预测成型回弹的设计人员。 三、 使用场景及目标 学习目标: 掌握在ABAQUS中设置金属塑性成形仿真的全流程,包括材料定义、复杂接触设置、边界条件与载荷步。 学习如何调试和分析大变形、非线性接触问题的收敛性技巧。 理解如何通过仿真预测成型缺陷(如减薄、破裂、回弹),并与理论或实验进行对比验证。 应用价值:本案的建模方法与分析思路可直接应用于汽车覆盖件、电器外壳、结构件等钣金产品的冲压工艺开发与模具设计优化,减少试模成本。 四、 其他说明 资源包内包含参数化的INP文件、CAE模型文件、材料数据参考及一份简要的操作要点说明文档。INP文件便于用户直接修改关键参数(如压边力、摩擦系数、行程)进行自主研究。 建议使用ABAQUS 2022或更高版本打开。显式动力学分析(如用Explicit)对计算资源有一定要求。 本案为教学与工程参考目的提供,用户可基于此框架进行拓展,应用于V型弯曲
游戏开发基于Unity的数据驱动玩法迭代:融合埋点系统、A/B测试与智能调优的实战分析平台构建
12-16
内容概要:本文围绕Unity游戏项目中的数据驱动玩法迭代,系统介绍了如何通过埋点系统、数据分析管道和A/B测试实现&ldquo;玩法-数据-优化&rdquo;闭环。文章结合Roguelike地牢游戏的难度调优案,详细拆解了轻量级埋点、本地日志解析、核心指标计算(如留存率、平均时长)、可视化看板及A/B测试框架的实现原理,并提供了完整的C#代码示。同时展望了实时数据流处理、因果推断建模与隐私合规等未来发展方向。; 适合人群:具备Unity开发基础,从事游戏研发1-3年的程序员或技术策划,尤其是关注玩法调优与数据驱动设计的从业者; 使用场景及目标:①构建低成本、可落地的数据采集与分析系统;②通过A/B测试科学验证玩法改动效果;③提升游戏难度平衡、用户留存与转化率等核心指标; 阅读建议:建议结合文中提供的代码模块在实际项目中动手实践,重点关注埋点设计的灵活性、数据计算的准确性以及实验分组的稳定性,同时注意生产环境中应升级为服务器上报与专业分析平台对接。
高等院校如何通过知识图谱发现潜在投资人?.docx
12-16
高等院校如何通过知识图谱发现潜在投资人?
大学如何设置基金联动模式的跟投比上限?.docx
12-16
大学如何设置基金联动模式的跟投比上限?
draw.io-29.0.3-windows-installer.exe
最新发布
12-16
draw.io-29.0.3-windows-installer.exe
Nexus通过OAuth 2.0OIDC协议实现单点登录(SSO)依赖第三方插件
12-10
Nginx本身并不直接支持OAuth 2.0OIDC协议来实现单点登录(SSO)。要实现这一功能,通常需要依赖第三方插件。以下是一些常见的第三方插件和实现方式: 1. **OAuth 2.0 Proxy**: - OAuth 2.0 Proxy是一个开源的代理服务器,可以与Nginx结合使用来实现OAuth 2.0OIDC协议的单点登录。它可以拦截未经授权的请求,并将用户重定向到身份提供商进行认证。 - 配置示: ```nginx server { listen 80; server_name yourdomain.com; location / { proxy_pass http://localhost:4180; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Scheme $scheme; proxy_set_header X-Auth-Request-User $auth_request_user; proxy_set_header X-Auth-Request-Email $auth_request_email; } } server { listen 4180; location = /oauth2/auth { proxy_pass https://oauth2.example.com/oauth2/auth; } location = /oauth2/start { proxy_pass https://oauth2.example.com/oauth2/start; } location / { proxy_pass http://yourapp.com; auth_request /oauth2/auth; error_page 401 = /oauth2/start; } } ``` 2. **lua-resty-openidc**: - lua-resty-openidc是一个基于OpenResty的Lua库,可以在Nginx中直接实现OIDC协议的单点登录。它通过Lua脚本与身份提供商进行交互,完成认证和授权。 - 配置示: ```nginx http { lua_shared_dict discovery 1m; lua_shared_dict jwks 1m; server { listen 80; server_name yourdomain.com; location / { access_by_lua_block { local opts = { discovery = &quot;https://auth.example.com/.well-known/openid-configuration&quot;, redirect_uri = &quot;https://yourdomain.com/redirect_uri&quot;, client_id = &quot;your_client_id&quot;, client_secret = &quot;your_client_secret&quot;, redirect_after_logout = &quot;https://yourdomain.com/logged_out&quot;, session_contents = {id_token=true} }; require(&quot;resty.openidc&quot;).authenticate(opts) } proxy_pass http://backend; } } } ``` 3. **Keycloak Gatekeeper**: - Keycloak Gatekeeper是一个代理服务器,可以与Nginx结合使用来实现OIDC协议的单点登录。它支持多种认证方式,并且可以与Keycloak身份提供商无缝集成。 - 配置示: ```nginx server { listen 80; server_name yourdomain.com; location / { proxy_pass http://localhost:3000; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; } } server { listen 3000; location / { proxy_pass http://localhost:3001; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; } } server { listen 3001; location / { auth_request /auth; proxy_pass http://backend; } location = /auth { proxy_pass http://localhost:3002/auth; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; } } server { listen 3002; location /auth { proxy_pass http://keycloak-gatekeeper:3000; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; } } ``` 通过这些第三方插件,您可以在Nginx中实现基于OAuth 2.0OIDC协议的单点登录(SSO),从而提高应用的安全性。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

nvd11

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值