OpenID Connect 和 OAuth2.0

已于 2023-11-04 18:18:27 修改
阅读量585 收藏
点赞数
分类专栏: ASP.NET Core Web API 文章标签: 算法 JWT
于 2023-11-04 18:17:40 首次发布

OAuth2.0 获取授权

OAuth是一个开放的授权协议

  1. Authorization Code Grant(RP在授权过程中不知道这个过程,用户在授权端点登陆,授权码post给后台,后台拿到code后获取access_token和userinfo,用户转入RP主页)
  2. Implicit Grant(适用于无后台应用,如js网站,用户在授权端点登陆,RP直接拿到accsess_token,会暴露给资源所有者或其他应用,因为token是jwt,payload 包含了用户profile)
  3. Resource Owner Password Credentials Grant(需要用户输入username和password,RP不得保存,仅在1,2授权不可用的情况下)
  4. Client Credentials Grant(用于机器对机器,没有用户参与,如后台维护工作)

OpenID Connect

OpenID Connect将身份验证实现为OAuth 2.0授权过程的扩展

  1. Authorisation code flow - 代码流,跳转到授权页面,allow后OP发送code到RP指定的url,RP 后台通过code 再向OP获取id_token和access_token,通过id_token访问UserInfo端点,获取授权码必须走TLS

注意: scope中必须包含openid范围值

  1. Implicit flow - 隐式流,比如js网站,无后台,授权后直接返回id_token和access_token给RP,易暴露
  2. Hybrid flow - 混合流,一些令牌是由授权端点返回的,而其他令牌是从令牌端点返回的

ID token

  1. sub-subject, 用户身份
  2. iss-issuing authority,发行机构
  3. aud-audience, client ,受众
  4. nonce-随机数(避免重放攻击)
  5. auth-time-何时认证
  6. acr-强度
  7. iat-issue at ,发行时间
  8. exp-expiration time, 过期时间
  9. name & email address
  10. 数字签名
  11. 加密(JWE)

例子

  GET /authorize?
    response_type=code
    &scope=openid%20profile%20email
    &client_id=s6BhdRkqt3
    &state=af0ifjsldkj
    &redirect_uri=https%3A%2F%2Fclient.example.org%2Fcb HTTP/1.1
    Host: server.example.com

  HTTP/1.1 302 Found
  Location: https://client.example.org/cb?
    code=SplxlOBeZQQYbYS6WxSbIA
    &state=af0ifjsldkj

  HTTP/1.1 200 OK
  Content-Type: application/json
  Cache-Control: no-store
  Pragma: no-cache

  {
   "access_token": "SlAV32hkKG",
   "token_type": "Bearer",
   "refresh_token": "8xLOxBtZp8",
   "expires_in": 3600,
   "id_token": "eyJhbGciOiJSUzI1NiIsImtpZCI6IjFlOWdkazcifQ.ewogImlzc
     yI6ICJodHRwOi8vc2VydmVyLmV4YW1wbGUuY29tIiwKICJzdWIiOiAiMjQ4Mjg5
     NzYxMDAxIiwKICJhdWQiOiAiczZCaGRSa3F0MyIsCiAibm9uY2UiOiAibi0wUzZ
     fV3pBMk1qIiwKICJleHAiOiAxMzExMjgxOTcwLAogImlhdCI6IDEzMTEyODA5Nz
     AKfQ.ggW8hZ1EuVLuxNuuIJKX_V8a_OMXzR0EHR9R6jgdqrOOF4daGU96Sr_P6q
     Jp6IcmD3HP99Obi1PRs-cwh3LO-p146waJ8IhehcwL7F09JdijmBqkvPeB2T9CJ
     NqeGpe-gccMg4vfKjkM8FcGvnzZUN4_KSP0aAp1tOJ1zZwgjxqGByKHiOtX7Tpd
     QyHE5lcMiKPXfEIQILVq0pc_E2DzL7emopWoaoZTF_m0_N0YzFC6g6EJbOEoRoS
     K5hoDalrcvRYLSrQAZZKflyuVCyixEoV9GfNQC3_osjzw2PAithfubEEBLuVVk4
     XUVrWOLrLl0nx7RkKU8NXNHq-rvKMzqg"
  }

Payload

{
  "sub"       : "alice",
  "iss"       : "https://openid.c2id.com",
  "aud"       : "client-12345",
  "nonce"     : "n-0S6_WzA2Mj",
  "auth_time" : 1311280969,
  "acr"       : "c2id.loa.hisec",
  "iat"       : 1311280970,
  "exp"       : 1311281970
}

其他

JWS:JSON Web Signature,Digital signature/HMAC specification(签名)

Authorisation response 中包含了三个部分,header,payload,signature

signature:可以通过JWS签名,保证数据完整,没有被篡改,返回响应中的header包含了alg(加密方式,如HS256)利用服务端的密钥secret通过哈希256(SHA256)HMACSHA256(base64UrlEncode(header)+ “.” + base64UrlEncode(payload),secret(公钥)) 加密取最左128bit,通过jwt网站了解 https://jwt.io/

JWE:JSON Web Encryption,Encryption specification(加密)

加密和解密方采用同一个密钥。采用这种模式的算法就叫做对称加密算法。
加密和解密方采用不同的密钥。采用这种模式的算法就叫做非对称加密算法。
JWK:JSON Web Key,Public key specification

JWA:JSON Web Algorithms,Algorithms and identifiers specification(算法)

JWT:JSON Web Token

获取授权码:

  1. response_type=code
  2. client_id 获取授权码不需要client_secret
  3. scope
  4. state 防 csrf 攻击

后台服务利用授权码获取token

  1. grant_type=authorization_code
  2. client_secret

OpenID 连接
OpenID Connect 1.0 是 OAuth 2.0 协议之上的简单身份层。

客户端使用 OAuth 代表用户请求访问 API,但 OAuth 协议中没有任何内容告诉客户端用户信息。 OpenID Connect 使客户端能够访问有关用户的其他信息,例如用户的真实姓名、电子邮件地址、出生日期或其他个人资料信息。

用户的 SSO 体验是通过将 ID 令牌从授权服务器传递到客户端来实现的。

请求中scope=openid

JSON Web Token 结构是什么?

  • Header
  • Payload
  • Signature

因此,JWT 通常如下所示。

xxxxx.yyyyy.zzzzz

.NET跨平台
关注
专栏目录
开放平台实现安全的身份认证与授权原理与实战:使用OpenID ConnectOAuth 2.0实现用户授权
程序员光剑
11-04 135
作者:禅与计算机程序设计艺术 1.背景介绍 目前互联网服务已经成为现代社会不可或缺的一部分,越来越多的人开始选择网上购物、网上学习、网上直播、网上收藏等服务。在这些服务中,用户数据也逐渐成为一个重要隐私信息。比如,某些网站会收集到用户的个人信息如姓名、地址、电话号码、邮箱等用于日后用户管理及个性化推
开放平台实现安全的身份认证与授权原理与实战:使用OpenID ConnectOAuth 2.0实现安全单点登
程序员光剑
11-08 237
作者:禅与计算机程序设计艺术 1.背景介绍 在互联网+时代,企业需要开放自己的业务数据、服务接口以及能力,通过开放平台将企业内部的应用、服务或数据进行整合,让外部的第三方用户也可以访问到这些资源。但是开放平台上运行的各种应用和服务往往面临安全问题。如何确保开放平台上的应用和服务具有高度的安全性是这个
OAuth 2.0OpenID Connect、SAML这篇看明白
最新发布
qq_33788547的博客
04-17 605
更进一步,OAuth 2.0虽然解决了用户需要记住大量账号的问题,但是还存在一个问题就是用户每登入一个应用都需要让微信授权登入一次,而OpenID Connect就是解决用户一次登入后,登入其他应用时无需重复登入的问题.策略就是使用一个身份提供者保存用户首次登入的凭据,登入其他应用时首先从身份提供者里面找是否有用户登入的有效凭据,如果存在则可以直接登入(具体可以按IP或者mac识别是否在同一台设备登入),类似的第三方身份提供者如identityServer4.SAML特别适用于大型网络环境。
OAuth 2.0OpenID Connect 协议的完整指南
paolei的笔记
07-02 2973
本文由 Haseeb Anwar 发表在 medium,经原作者授权由 InfoQ 中文站翻译并分享。 我们都在网站或者手机应用中见过“谷歌登陆”和“绑定 Facebook“这样的按钮。如果你点击这个按钮,就会有一个窗口弹出并显示“这个应用想要访问你的公共个人主页、通讯录……“,同时它会询问你是否授权。概括而言,这就是 OAuth。对于每个软件工程师、安全专家甚至是黑客,理解这些协议都是非常重要的。 前言 本文是一篇关于 OAuth 2.0OpenID Connect 协议的完整指南,这
OpenID Connect + OAuth2.0
weixin_33695082的博客
07-25 355
一、问题的提出 现代应用程序或多或少都是如下这样的架构: 在这种情况下,前端、中间层和后端都需要进行验证和授权来保护资源,所以不能仅仅在业务逻辑层或者服务接口层来实现基础的安全功能。为了解决这样的问题,通常就会导致如下安全架构:   上图其实是把整个安全问题分解为两个方面:验证和API访问。 所谓验证,就是应用程序需要知道当前用户是谁。通常应用程序都会管理用户信息,并代表用户来访问用户被授权的...
OAuth2、OpenID Connect简介
diezuo9326的博客
09-29 1034
当我们在登录一些网站的时候,需要第三方的登录。比如,现在我们要登录简书https://www.jianshu.com/sign_in,我们使用微博登录,点击下方的一个微博的小按钮,就会出现这么一个地址https://api.weibo.com/oauth2/authorize?client_id=1881139527&redirect_uri=http%3A%2F%2Fwww.j...
适用于ASP.NET Core的OpenID ConnectOAuth 2.0框架-.NET开发
05-27
用于ASP.NET Core的IdentityServer4 OpenID ConnectOAuth 2.0框架这是IdentityServer4的主要仓库-还有更多内容:文档咨询,培训和支持示例访问令牌验证用于ASP.NET Core的IdentityServer4 OpenID ConnectOAuth ...
IdentityServer4:适用于ASP.NET Core的OpenID ConnectOAuth 2.0框架
02-05
重要更新 从2020年10月1日起,我们成立了一家... IdentityServer4由和创建和维护,它整合了将基于令牌的身份验证,单点登录和API访问控制集成到应用程序中所需的所有协议实现和可扩展性点。 IdentityServer4已由正式,
caddy-auth-portal:用于Caddy v2的身份验证插件,实现基于表单,基本,本地,LDAP,OpenID ConnectOAuth 2.0(Github,Google,Facebook,Okta等),SAML身份验证
03-20
球童认证门户 用于身份验证插件,实现基于... OAuth 2.0OpenID Connect(OIDC) 该插件接受用户凭据以进行以下身份验证: 基于表单的身份验证:带有application/x-www-form-urlencoded POST 基本身份验证:具有Aut
OAuth 2.0OpenID Connect 的基本原理和区别(干货)
热门推荐
qq_24550639的博客
12-13 1万+
基本原理 首先要明确OAuth OpenID Connect学习起来比较难,对谁都会比较难,所以心态要放好,因为有很多专业属于、缩写等等,你要是之前不知道,就基本上很难看懂。而且OAuthOpenID Connect不像HTTP这样的协议,有固定的格式,OAuthOpenID Connect其实没有很固定的格式,没有人告诉你,一定要怎么做。 所以本文都是大白话,让大家更容易看懂。 为什么要用OAuth 和 OIDC来做授权和身份验证? 原来,是怎么进行身份验证的? 简单的表格登录验证模式,密码哈希存在数
IdentityServer4 实现 OpenID ConnectOAuth 2.0
weixin_30376453的博客
04-01 295
IdentityServer4 实现 OpenID ConnectOAuth 2.0 原文:IdentityServer4 实现 OpenID ConnectOAuth 2.0OAuth 2.0 。顺便说一下个人理解授权与认证的区别,授权可以理解为房间的主人允许你进入他的房间,但是房间的主人不知道你是谁。认证就是让房间的主任知道你是...
OAuth2】十九、OpenID Connect 动态客户端注册
weixin_43333483的博客
08-08 1460
OpenID Connect 动态客户端注册
09 | 实战:利用OAuth 2.0实现一个OpenID Connect用户身份认证协议
weixin_39924752的博客
03-11 378
OAuth 2.0 不是一个身份认证协议。有些 App 不想非常麻烦地自己设计一套注册和登录认证流程,就会寻求统一的解决方案,然后势必会出现一个平台来收揽所有类似的认证登录场景。我们再反过来理解也是成立的。如果有个拥有海量用户的、大流量的访问平台,来提供一套统一的登录认证服务,让其他第三方应用来对接,不就可以解决一个用户使用同一个账号来登录众多第三方 App 的问题了吗?而 OIDC,就是这样的登录认证场景的开放解决方案。原文。
OAuth2.0 授权 & OpenID Connect 身份认证
weixin_43294560的博客
06-06 1519
【代码】OAuth2.0 授权 & OpenID Connect 身份认证。
OpenID Connect and OAuth 2.0: Combining Forces for Stronger Security
程序员光剑
01-07 409
1.背景介绍 OpenID Connect (OIDC) 和 OAuth 2.0 是两个独立的标准,但它们在许多方面相互补充,并在许多现代身份和访问管理场景中发挥着重要作用。OAuth 2.0 主要用于授权,允许第三方应用程序获取用户的资源,而不揭露他们的凭据。OpenID Connect 则在 OAuth 2.0 的基础上添加了身份验证和单点登录 (SSO) 功能,使得用户可以使用一个凭据集来...
OAuth2.0 & OpenID Connect解析
adolph09的博客
12-14 1721
Introduction OAuth2是一个授权框架, 可以使一个应用程序获取其他HTTP服务, 比如Facebook, 的用户账号的部分权限。 当一个第三方应用程序想要访问用户账号时, OAuth2会把验证的过程委托给含有用户账号信息的应用程序。OAuth2提供了Web, Desktop applications, mobile devices的授权流。   OAuth Roles OAuth定义了四种角色: Resource Owner Client Resource Server Auth
OpenID Connect
gitblog_00073的博客
03-16 830
OpenID Connect OpenID Connect是一个简单且开放的认证协议,它允许任何网站或应用程序通过HTTP/HTTPS与身份提供者进行安全的身份验证交互。这是一种基于OAuth 2.0协议的扩展,可以将身份验证过程简化为一个简单的步骤。 什么是OpenID ConnectOpenID Connect是一种用于实现Web应用、移动应用和API的安全身份验证的标准协议。该协议在OA...
开放平台实现安全的身份认证与授权原理与实战:OpenIDOAuth 2.0的关系解析
程序员光剑
11-17 174
1.背景介绍 随着互联网技术的飞速发展、Web应用日益复杂化、用户对隐私权与数据保护越来越关注,在这种情况下,如何保证应用系统的用户信息的安全性就成了社会越来越多企业面临的共同难题。随着社会对云计算、移动互联网、物联网等新技术的兴趣和采用,越来越多的企业意识到数据安全问题也是企业发展的一项重要任务。这引起了人们对如何保障用户数据安全以及平台认证和授权机
ASP.NET Core的OpenID ConnectOAuth 2.0框架:IdentityServer4中文版
IdentityServer4 是一个强大的开放源代码框架,专为 ASP.NET Core 设计,用于实现 OpenID ConnectOAuth 2.0 协议。这个框架的主要目的是提供一种安全的身份验证和授权机制,使得开发者能够在自己的应用程序中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值