auth2_将Auth0 OIDC(OAUTH 2)与授权(组和角色)集成

最新推荐文章于 2023-05-20 21:02:15 发布
最新推荐文章于 2023-05-20 21:02:15 发布
阅读量391 收藏
点赞数
文章标签: java linux 数据库 js mongodb ViewUI
原文链接:https://www.javacodegeeks.com/2020/04/integrating-auth0-oidc-oauth-2-with-authorization-groups-and-roles.html
版权
auth2

auth2

如果您正在使用Auth0对多个现有应用程序中的用户进行身份验证和授权,则可能需要将下一个Web应用程序与Auth0集成。

有多种方法可以执行此操作,例如,如果要将Jenkins与Auth0集成,则可以使用SAML v2;否则,可以使用SAML v2。 这篇博客文章解释得很好

如果您的应用程序不支持SAML v2或使其成为企业付费功能,则可能需要使用OAuth2(或OIDC )集成。

让我们以开源监视解决方案Grafana为例,并将其与Auth0集成。

使用Auth0对Grafana用户进行身份验证:只需阅读文档

Grafana官方文档将向您说明如何:

  • [server]root_url选项设置为正确的回调URL
  • 在Auth0中创建一个新客户端,将允许的回调Urls设置为https://<grafana domain>/login/generic_oauth
  • 使用类似的配置来配置Grafana: 
 ; not mandatory, but ; not mandatory, but super useful to debug OAuth interactions with Auth0
 [log]
 level = debug
 [server]
 root_url = https: //<grafana domain>/
 [auth.generic_oauth]
 enabled = true
 allow_sign_up = true
 team_ids =
 allowed_organizations =
 name = Auth0
 client_id = <client id>
 client_secret = <client secret>
 scopes = openid profile email
 auth_url = https: //<domain>/authorize
 token_url = https: //<domain>/oauth/token
 api_url = https: //<domain>/userinfo

问题是……您将不会获得任何授权。 您的所有Auth0用户都将能够登录Grafana,但默认情况下将被分配为Viewer角色。 这是因为Grafana需要从Auth0接收有关登录用户角色的其他信息。 

 t= 2020 - 04 -14T11: 39 : 03 + 0000 lvl=dbug msg= "Received user info response" logger=oauth.generic_oauth raw_json= "{\"sub\":\"auth0|5e87486a85dd980c68d912c4\",\"nickname\":\"anthony\",\"name\":\"anthony@host.net\",\"picture\":\" https://s.gravatar.com/avatar/79033b96a632e4ea71b59fe9554c53a2?s=480&r=pg&d=https%3A%2F%2Fcdn.auth0.com%2Favatars%2Fan.png \",\"updated_at\":\"2020-04-14T11:39:02.862Z\",\"email\":\"anthony@host.net\",\"email_verified\":false}" data= "Name: anthony@host.net, Displayname: , Login: , Username: , Email: anthony@host.net, Upn: , Attributes: map]"
 t= 2020 - 04 -14T11: 39 : 03 + 0000 lvl=dbug msg= "User info result" logger=oauth.generic_oauth result= "&{Id: Name:anthony@host.net Email:anthony@host.net Login:anthony@host.net Company: Role: Groups:]}"
 t= 2020 - 04 -14T11: 39 : 03 + 0000 lvl=dbug msg= "OAuthLogin got user info" logger=oauth userInfo= "&{Id: Name:anthony@host.net Email:anthony@host.net Login:anthony@host.net Company: Role: Groups:]}"

如果查看上面的Grafana调试日志,则会看到该用户已登录,但是由于未映射任何角色,因此为该用户分配了Viewer角色

Auth0中的授权:安装扩展,然后设置组和角色

在Auth0中,您首先需要添加Authorization扩展,然后将提示您配置扩展:

完成后(确保启用“组和角色”,然后旋转并按发布规则),然后可以创建一些组

然后,您可以将用户添加到Admin组

如果您回到Auth0(更确切地说是“规则”面板),则会看到该扩展已添加并激活了新规则

不幸的是,这还不够:我们需要让Auth0丰富发送回Grafana的userinfo ; 在上一章中,我们看到了Grafana调试日志显示给我们: 


  {

    "sub" : "auth0|5e87486a85dd980c68d912c4" ,

    "nickname" : "anthony" ,

    "name" : "anthony@host.net" ,

    "picture" : " https://s.gravatar.com/avatar/79033b96a632e4ea71b59fe9554c53a2?s=480&r=pg&d=https%3A%2F%2Fcdn.auth0.com%2Favatars%2Fan.png " ,

    "updated_at" : "2020-04-14T11:39:02.862Z" ,

    "email" : "anthony@host.net" ,

    "email_verified" : false

  }

因此,要使用组信息丰富此json对象,我们需要创建另一个规则,以丰富用户个人资料; 让我们创建一个新规则(我将其命名为add-groups )并添加以下代码: 

 function addAttributes(user, context, callback) {

  const namespace = ' https://dahanne.net/ ' ;

  context.idToken[namespace + 'groups' ] = user.groups;

  callback( null , user, context);
 }

现在,我们应该对Auth0租户应用2条规则:

如果您现在重新登录Grafana,您的Grafana个人资料将不会有任何更改。 但是如果您查看日志,特别是raw_json userinfo对象中的raw_json ,您会注意到我们的规则添加了一个新字段: 


  {

    "sub" : "auth0|5db0908a8bc0400c5c05604e" ,

    "nickname" : "anthony" ,

    "name" : "anthony@host.net" ,

    "picture" : " https://s.gravatar.com/avatar/79033b96a632e4ea71b59fe9554c53a2?s=480&r=pg&d=https%3A%2F%2Fcdn.auth0.com%2Favatars%2Fan.png " ,

    "updated_at" : "2020-04-13T22:49:58.965Z" ,

    "email" : "anthony@host.net" ,

    "email_verified" : true ,

    " https://dahanne.net/groups " : [

      "Admin"

    ]

  }

现在,我们需要指导Grafana如何读取这个新字段,并使用它来为我们的用户个人资料分配一个组。

返回到Grafana,使用JMESPath从Auth0响应中检索用户角色

我们首先需要阅读Grafana JMESPath的文档

从文档中,我们可以推断出我们需要这样的映射: 


role_attribute_path = contains( " https://dahanne.net/groups " [*], 'Admin' ) && 'Admin' || contains( || contains( " https://dahanne.net/groups " [*], 'Editor' ) && 'Editor' || 'Viewer'

现在,如果您重新登录Grafana,并查看调试日志,您将看到Auth0中的新字段: 

lvl=dbug msg= "User info result" logger=oauth.generic_oauth result= "&{Id: Name:anthony@host.net Email:anthony@host.net Login:anthony@host.net Company: Role:Admin Groups:]}"

当然,您在Grafana中的用户个人资料现已更新:

最后的话

尽管认证集成已被很好地证明,但我在弄清楚授权部分时还是遇到了麻烦……起初,我尝试在Auth0规则中丰富user对象,但是只有丰富上下文idToken (感谢我的同事Brett帮助我解决了问题)那); 更重要的是,作为URL的名称空间也是必须的!

不过,在Grafana方面,开箱即用时一切都很好。 调试日志确实有帮助!

翻译自: https://www.javacodegeeks.com/2020/04/integrating-auth0-oidc-oauth-2-with-authorization-groups-and-roles.html

auth2

cunhui1209
关注
Spring Boot OAuth2 认证服务器搭建及授权码认证演示
oscar999的专栏
07-26 957
本篇基于JDK8 搭建Spring Boot 的OAuth 2的认证服务器, 并完全显示授权码认证模式的完整过程
oidc auth2.0_使用Spring Security 5.0和OIDC轻松构建身份验证
最佳 Java 编程
07-02 3518
oidc auth2.0 “我喜欢编写身份验证和授权代码。” 〜从来没有Java开发人员。 厌倦了一次又一次地建立相同的登录屏幕? 尝试使用Okta API进行托管身份验证,授权和多因素身份验证。 Spring Security不仅是一个功能强大且可高度自定义的身份验证和访问控制框架,它还是保护基于Spring的应用程序的实际标准。 从前,Spring Security需要使用大量的XML来...
auth:使用本地存储和Auth0 OAuth2流的客户端JWT auth
03-01
验证码 使用本地存储和Auth0 OAuth2流的客户端JWT身份验证。 用法 import { getSession , deleteSession , createAuth } from "@tridnguyen/auth" ; const auth = createAuth ( ) ; auth . handleCallback ( ( err ) => { if ( err ) { console . error ( err ) ; return ; } else { console . log ( getSession ( ) ) ; } } ) ; function login ( ) { auth . silentAuth ( ) ; } function logout ( ) { deleteSession ( ) ; } con
Auth0 OIDCOAUTH 2)与授权组和角色集成
最佳 Java 编程
06-16 560
如果您正在使用Auth0对多个现有应用程序中的用户进行身份验证和授权,则可能需要将下一个Web应用程序与Auth0集成。 有多种方法可以执行此操作,例如,如果要将Jenkins与Auth0集成,则可以使用SAML v2;否则,可以使用SAML v2。 这篇博客文章解释得很好 。 如果您的应用程序不支持SAML v2 或使其成为企业付费功能 ,则可能需要使用OAuth2(或OIDC )...
oauth0 oauth2_OAuth的运作方式
weixin_26722031的博客
07-30 207
oauth0 oauth2OAuth is one of those technologies that is almost as widely misunderstood as it’s used. In this article, let’s strip away the jargon and really understand how the technology behind OAuth ...
轻松将现有用户迁移到Auth0
04-06 239
用户迁移是一个可怕的,有时是不可避免的任务是困难的开发商,不方便用户,和昂贵的企业主。 需要迁移从一个服务或平台的用户另一个可以从任意数量的原因,干:目前正在使用的身份提供商正在关闭,您的企业不再希望管理用户自己,语言或框架的变化,许多其他原因。 Auth0旨在提供最佳的认证和身份管理平台,简单,方便开发者的工作与。 在Auth0平台的一个主要特点是迁移任何现有数据源到Auth0用户无需通过要...
oauth0 oauth2_使用oauth确保本机React
weixin_26646901的博客
09-06 804
oauth0 oauth2In this tutorial, we will set up a React Native application to work with OAuth. We’ll use FusionAuth for auth, but the React Native code should work with any OAuth compliant server.在本教程中,...
angular-auth-oidc-client:用于OpenID Connect的npm软件包,带有PKCE的OAuth代码流,刷新令牌,隐式流
02-04
用于OpenID Connect和OAuth2的Angular库 具有PKCE的OpenID代码流,具有刷新令牌的代码流,OpenID Connect隐式流 OpenID认证 该库通过OpenID Foundation。 (RP隐式和配置RP) 产品特点 通过PKCE支持OpenID Connect...
Blazor.Auth0:在Blazor应用程序中使用Auth0的库
02-05
Auth0是一个提供身份验证和授权即服务的平台。 为开发人员和公司提供构建应用程序所需的构建块,而不必成为安全专家。 您可以将任何应用程序(以任何语言或在任何堆栈上编写)连接到Auth0,并定义要使用的身份提供...
OIDC & OAuth2.0 协议及其授权模式详解|认证协议最佳实践系列【1】
Authing的博客
02-22 1005
OIDC & OAuth2.0 协议最佳实践系列。
OIDC & OAuth2.0 认证协议最佳实践系列 02 - 授权码模式(Authorization Code)接入 Authing
Authing的博客
03-03 1452
让你的系统快速具备接入用户认证的标准体系。
整合oauth2
Leon_Jinhai_Sun的博客
06-03 97
整合oauth2
oauth0 oauth2_OAuth重播缓解攻击
weixin_26722031的博客
08-31 630
oauth0 oauth2When working with developers on authentication and authorization, I find that the nonce and state parameters are two of the more difficult parts of the OAuth 2.0 and OpenID Connect specif...
Oauth2.0四种授权模式适用场景和授权流程介绍以及个人的一些思考
玖涯博客
03-09 5043
Oauth 协议为用户资源的授权提供了一个安全的、开放而又简易的标准,先前曾经了解过在 spring-security-oauth2 中 Oauth 四种模式的实现,也通过 Shiro 实现了 Oauth授权流程。 目前 spring-security-oauth2 已经被逐步废弃,Spring 也提供了新的框架 spring-authorization-server,整个框架基于 Oauth 2.1 开发。目前重新整理项目代码,借此机会详细梳理一遍 Oauth2.0 授权模式的适用场景和授权流程,
springboot2.X集成mybatis2.X+shiro1.X+JWT(auth0 3.X)实现无状态登录和鉴权
weixin_44341110的博客
07-05 218
源码地址:springboot集成mybatis+shiro+jwt(auth0) 实现无状态登录和鉴权 一、新建springboot工程集成相关依赖。 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLoca
16.1 用auth0服务 实现用登录和管理 使用auth版本的2个大坑。
weixin_34332905的博客
07-17 420
这是三周内容,实现用户登录和管理 回到master分支 切换到 han分支 更新一下 然后工作 开始工作写代码了 安装2个angular端的auth0的lib,也可不安装,后边有不安装的做法 不安装的方法是 我们知道我们所有的client端的代码或者js文件,都是通过咱们用ng bulid --watc...
OAuth2.0 & OIDC1.0及落地方案
最新发布
罗小爬的技术宝书
05-20 3024
本文介绍了OAuth2.0 & OIDC1.0的相关术语、授权模式及交互流程等,并站在不同角度论述了OAuth2.0 & OIDC1.0作为建设企业用户认证中心的落地思路,给出了不同客户端类型关于授权模式的选型建议,最后结合Spring Security OAuth2生态给了典型架构(前后端分离+微服务+应用网关)的集成示例。
OAuth2.0最直观配置
混世者的专栏
01-14 1196
OAuth2.0基础认识可以看这里 spring全家桶已经实现了OAuth2.0的全部功能(spring-cloud-starter-security、spring-security-oauth2-autoconfigure),我们只要引用对应库就可以了。 表结构 无论哪种认证方式,总要把数据存储起来(无论是在缓存还是DB),OAuth2.0依赖的数据一般是存放在DB中的,全部表结构可以参考这里 ...
让jenkins支持LDAP的多OU
weiguang1017的专栏
03-21 5441
因公司架构调整,需要将其中几个ou的用户认证集成到jenkins 方法一: 通过jenkins的 Active Directory或LDAP插件,直接配置根就可以---------------------缺点是,当架构足够大的话每次登陆验证耗时较长,所以产生标题所说的需求。 如LDAP中: 方法二: 因为方法一中的两个插件都不支持多OU(ldap插件中有人2015年就提出
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值