基于CAS搭建OIDC认证授权协议

最新推荐文章于 2024-07-28 18:05:42 发布
最新推荐文章于 2024-07-28 18:05:42 发布
阅读量7.1k 收藏 10
点赞数 1
分类专栏: CAS 文章标签: CAS OIDC 认证授权 OAuth2 OpenId
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BecauseSy/article/details/80223125
版权
本文详细介绍了如何基于CAS 5.1.X 搭建OIDC(OpenID Connect)认证授权协议,包括OIDC的主要术语、工作流程以及CAS服务端和客户端的集成。读者需要自行搭建CAS服务端,过程中涉及OIDC插件添加、JWK钥匙生成、客户端注册等步骤,并提供了客户端认证授权的具体实现和验证流程。
摘要由CSDN通过智能技术生成

OIDC协议作为以OAuth2为基础衍生的出新的认证授权协议,将OAuth2的授权协议与OpenId的认证协议相结合,从而生产的新的sso协议OIDC协议(OpenID Connect)。本文讲解的是基于CAS 5.1.X 实现的OIDC搭建。

*本文章需要读者自行搭建CAS服务端

OIDC主要术语说明:http://openid.net/specs/openid-connect-basic-1_0.html#Terminology

  1. EU:End User:一个人类用户。
  2. RP:Relying Party,用来代指OAuth2中的受信任的客户端,身份认证和授权信息的消费方;
  3. OP:OpenID Provider,有能力提供EU认证的服务(比如OAuth2中的授权服务),用来为RP提供EU的身份认证信息
  4. IDToken:JWT格式的数据,包含EU身份认证的信息。
  5. UserInfo Endpoint:用户信息接口(受OAuth2保护),当RP使用AccessToken访问时,返回授权用户的信息,此接口必须使用HTTPS。

OIDC工作流程:

官网文档给出了详细的介绍,整个过程如下图(http://openid.net/specs/openid-connect-basic-1_0.html

  1. RP发送一个认证请求给OP;
  2. OP对EU进行身份认证,然后提供授权;
  3. OP把ID Token和Access Token(需要的话)返回给RP;
  4. RP使用Access Token发送一个请求UserInfo EndPoint;

  5. UserInfo EndPoint返回EU的Claims。
    这里写图片描述

    CAS服务端集成OIDC

    https://apereo.github.io/cas/5.1.x/installation/OIDC-Authentication.html
    一、pom文件添加OIDC插件包

<dependency>
  <groupId>org.apereo.cas</groupId>
  <artifactId>cas-server-support-oidc</artifactId>
  <version>${cas.version}</version>
</dependency>

二、JWK钥匙生成
官方提供的用于生产JWK文件工具 https://mkjwk.org/
或者使用本地JAR生产 jar下载地址:https://download.csdn.net/download/becausesy/10396777

三、配置文件

#--------------------openId connect------------------
#签名文件路径
cas.authn.oidc.jwksFile=classpath:/static/keystore.jwks
#签发端地址
cas.authn.oidc.issuer=https://localhost:8888/cas/oidc/
#-------------------开启动态注册客户端------------------
cas.authn.oidc.dynamicClientRegistrationMode=OPEN
#-------------------自定义字段------------------
cas.authn.oidc.userDefinedScopes.hbtvprofiles=id,name,mobile,email,avatar

四、客户端注册
JSON文件形式

{
  "@class" : "org.apereo.cas.services.OidcRegisteredService",
  "clientId": "...",
  "clientSecret": "...",
  "serviceId" : "...",
  "name": "OIDC Test",
  "id": 10,
  "scopes" : [ "java.util.HashSet", 
    [ "profile", "email", "address", "phone", "offline_access", "displayName", "eduPerson" ]
  ]
最低0.47元/天 解锁文章
不行换啤的
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security 6.x 系列【45】微服务篇之搭建统一认证服务
记录知识、锤炼自我
05-26 3619
在上篇文档中,我们学习了在微服务架构下,如何搭建统一身份认证,并推荐使用Session管理会话,接下来我们搭建一个微服务项目,并实现分布式环境下的认证功能。
Spring Cloud 微服务中搭建 OAuth2.0 认证授权服务
javaQQ561487941的博客
12-11 1062
在使用 Spring Cloud 体系来构建微服务的过程中,用户请求是通过网关(ZUUL 或 Spring APIGateway)以 HTTP 协议来传输信息,API 网关将自己注册为 Eureka 服务治理下的应用,同时也从 Eureka 服务中获取所有其他微服务的实例信息。搭建 OAuth2 认证授权服务,并不是给每个微服务调用,而是通过 API 网关进行统一调用来对网关后的微服务做前置过滤,...
oidc-server-mock:用于OpenId Connect的可配置模拟服务器
05-06
OpenId Connect服务器模拟 该项目允许您运行具有OpenId Connect功能的可配置模拟服务器。 这是在docker-compose配置中使用服务器的示例: version : ' 3 ' services : oidc-server-mock : container_name : oidc-server-mock image : soluto/oidc-server-mock ports : - " 4011:80 " environment : ASPNETCORE_ENVIRONMENT : Development SERVER_OPTIONS_INLINE : | { "AccessTokenJwtType"
盘点认证协议 : 普及篇之OAuth , OIDC , CAS
black-ant
08-03 5014
首先分享之前的所有文章 , 欢迎点赞收藏转发三连下次一定 >>>> ???????????? 文章合集 : ???? https://juejin.cn/post/6941642435189538824 Github : ???? https://github.com/black-ant CASE 备份 : ???? https://gitee.com/antblack/case 这一篇来聊一聊老本行 - 身份安全的相关概念 . 主要来说一说一般身份认证
【登录知多少,OIDC 大家都在用,一文速通流程 】
最新发布
qq_38428433的博客
07-28 746
OIDCOpenID Connect)是一个基于 OAuth 2.0 的身份验证协议,用于在应用程序之间安全地传递身份信息。OIDC提供了 身份验证,单点登录(SSO)等功能。用户请求登录• 用户通过客户端(应用程序)请求登录。• 客户端将用户重定向到授权服务器的登录页面。用户认证• 用户在授权服务器的登录页面输入凭据进行认证。•授权服务器验证用户身份后,生成一个授权码,并将用户重定向回客户端。交换授权码• 客户端接收到授权码后,向三方平台后端发送请求。• 三方平台后端 在拿着授权码。
搭建一个基于SpringBoot的OIDC客户端
Forget_Re的博客
11-18 2076
基于SpringBoot的OIDC客户端demo
SSO、CASOAuthOIDC
LawssssCat的博客
04-23 1530
Authorization authZ —— 授权 What can you do。Authentication authN —— 认证 Who are you。todo 整理关键词:oauth、auth、认证、…
七、OIDC
weixin_30800987的博客
06-19 517
OAuth中,这些授权被称为scope。OpenID-Connect也有自己特殊的scope--openid,它必须在第一次请求“身份鉴别服务器”(Identity Provider,简称IDP)时发送过去。 转载于:https://www.cnblogs.com/fger/p/11049363.html...
选择合适的用户系统 - 各认证协议介绍及cas、keyclock、authz、authing等的对比
reprover的博客
09-17 2594
本文首发于俺的博客:https://rxrw.me/tech/user-system-compare/ 从我刚开始学习互联网方面的编程开始,无论是写什么项目(除了微信公众号的消息收发),用户都是一个耗时间、耗精力而又无法保证开发最终稳定、无法复用的功能。对于每个业务需求,有一半的时间都是去做用户系统。从最开始的原生 PHP 手写笨拙的注册流程和表单,到 ThinkPHP(呕),再到后来的 Laravel 开箱即用的认证模块——虽然说是开箱即用,但国外的邮箱策略和国内的手机号、微信授权功能对比,开发成本还是很
使用spring security 实现CAS单点登录
OneAuth身份云
08-22 1297
每次验证时,CAS Server 会根据 TGT签发一个ST,并把ST拼接在service参数中,同时将相应的TGC设置到用户的cookie中(域为CAS Server),并返回302 状态码,指示浏览器重定向到 service,例如 http://cas.client.com/me?在单点登录系统中,需要定义一个独立的认证中心,只有认证中心才能接受用户的用户名密码等安全信息,而其他系统并不提供登录入口,只接受认证中心的间接授权,间接授权通过令牌实现。,只需要登录一次就可以进入多个系统,而不需要重新登录。
CAS5.3.x 单点登录二--集成其他OAuth,360浏览器首次登录无效
gujianxin的专栏
07-04 399
在对外提供Oauth2.0服务,同时调用委托认证的情况下,会发现用360浏览器时第一次认证后,第二次仍然会要求委托认证
OIDC及其在RESTful AP与SPA架构下的SSO实现思路(第一版)
weixin_34199405的博客
02-28 723
前言 最近在对基于token做身份认证的项目中扩展sso。 背景 项目大致架构如下 其中服务器端是RESTful风格的API服务器,客户端基于Vue开发的SPA。 身份认证是基于token,客户端登录之后,服务器端验证并发送JWT token给客户端,客户端将token存入localStorage中并每次恢复到Vuex中,客户端每次请求都会在HTTP自定义头部中附带token。 本文简述下我对O...
从零搭建一个IdentityServer——资源与访问控制
null_10086的博客
07-20 416
  IdentityServer作为授权服务器它的最终目的是用于对资源进行管控,这里所说的资源有两种,其一是API资源,实际上也就是OIDC协议中客户端(RP)所需要访问的一系列受保护的资源(API),授权服务器通过对终端用户完成身份验证后发放相应Token,然后可以使用Token来完成受保护资源的访问。   另外就是对用户资源进行管控,简单来说就是授权服务器存储了用户相关信息,客户端应用无需也无权来管理,如有需要可以通过授权服务器获取,这样的好处就是将用户信息统一管理,可以保证用户数据一致性、安全性也可.
OIDC 在 Authing 控制台的配置流程 | 认证(二)
Authing的博客
08-31 581
在之前的文章中我们讲解了很多的基础知识和概念。我们讲解了什么是 Spring Security ,以及使用 Spring Security 安全管理框架给我们开发工作带来的便利和整合难度的降低,极大地减少了大量重复代码的开发。OIDC 协议,是一个基于 OAuth 协议的身份认证标准协议,且完全兼容 OAuth。Access Token 来解决授权第三方客户端访问受保护资源的问题,OIDC 在这个基础上提供了ID Token 来解决第三方客户端标识用户身份认证的问题。...
Spring Authorization Server入门 (六) 自定义JWT中包含的内容与资源服务jwt解析器
云逸的博客
06-07 3947
最后经过两个简单的配置实现了自定义的token内容与解析器,这也正是框架灵活与支持高度自定义的体现,实际上这些操作的代码部分都比较少,多的是理论部分,结合文档与源码能够更好的理解框架,文档中对于某些类的应用一般会有详细的说明与示例存在。
DataEase 单点登录之 OIDCCAS、LDAP - SSO 原理及配置
范一刀的博客
05-09 632
本视频主要介绍 CASOIDC、LDAP 的认证原理,和配置到 DataEase 实现用户认证。DataEase 单点登录之 OIDCCAS、LDAP - SSO 原理及配置。
Spring Authorization Server入门 (四) 自定义设备码授权
云逸的博客
06-05 2783
设备码流程一般使用在不便输入的设备上,设备提供一个链接给用户验证,用户在其它设备的浏览器中认证;其它的三方服务需要接入时就按各自特点使用不同的授权方式。
java生成jwt并使用RSA签名
fggdgh的博客
01-05 1633
java生成jwt使用RSA签名
OIDC OAuth2 流程详解:授权码模式实践
OpenID Connect (OIDC) 是基于OAuth2.0协议认证框架,它提供了一种安全的身份验证机制,允许应用程序在用户授权的情况下获取和验证用户身份信息。在这个过程中,Nginx等服务器可以作为认证服务器的角色来处理用户...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值