openid:身份认证_身份联合和OpenId

最新推荐文章于 2022-06-06 23:34:17 发布
最新推荐文章于 2022-06-06 23:34:17 发布
阅读量634 收藏 1
点赞数

openid:身份认证

身份联合会目前是一个热门话题,至少对于我的客户而言。

它的开始是无辜的:不属于该组织的人需要访问应用程序。 没问题,让我们注册他。 一年后,需求成千上万的用户,身份管理的能力已经超出了它的能力:该软件的大小是针对组织的,而不是针对组织周围的众多第三方用户。 但是,合作伙伴,客户和提供者,他们都有充分的理由来访问内部应用程序,但与其他用户一样,它们也必须被标识并具有权限(身份验证和授权)。

这是身份联合适合的用例之一。身份联合到底是什么? 维基百科将其定义为:

跨多个IT系统甚至组织的用户身份验证过程。

我宁愿将其定义为跨多个域的用户身份验证。 域可以无关紧要地指粗粒度或细粒度的系统。

身份联合的其他用例包括:

  • 不希望投资于任何身份管理软件(已购买或开发)且希望委托第三方的初创公司
  • 需要出于身份的“新鲜”信息的组织将委派给几乎是“新鲜”的第三方,无论是出于法律原因还是仅仅因为
  • 一个分散的组织,该组织将身份验证委派给其单位,但仍需要其应用程序具有互操作性
  • 等等

身份联合的一个巨大优势是它是Single Sign-On的基础。 随着可用应用程序数量的增加,对该功能的需求也越来越高:用户忘记了他们的登录名或密码,或者在某个地方记下了它,这会破坏安全性。

无论如何,即使以前的技术提供了一些针对它的功能,身份联合在当今也变得越来越重要。 我在这里考虑LDAP,您可以在其中将LDAP树的某个分支托管在另一个LDAP上。 但是,这是有限的,因为主服务器和委托服务器仍必须共享相同的架构(如果我没记错的话,我已经很长时间没有使用LDAP了)。

随着对身份联合会的需求日益增长,自然而然地会有很多解决方案,但没有明确的标准,无论是标准化的还是事实上的 。 可用技术包括(但不限于): CASShibbolethOpenId 。 我最近对后者产生了兴趣,不是因为它比其他的要好(我是该领域的新手,并且没有足够的信息来通过这种判断),而是因为Google是在Google自己的ID管理或Google面前的OpenId提供程序应用程序的。 这意味着您可以在Google基础架构上管理您的身份(最多免费提供50个帐户),并使用OpenId对您的用户进行身份验证!

使用OpenId进行身份验证是一个多步骤过程:

  1. 应用程序从提供程序获取可用的身份验证端点
  2. 应用程序将用户重定向到这样的身份验证端点之一
  3. 用户在提供商基础架构上进行身份验证
  4. 如果成功,提供程序会将流重定向到应用程序
  5. 最后,应用程序检查身份验证是否成功

幸运的是,有一个可用Java编写的OpenSource项目,它很好地将OpenId的详细内容包装在API中。 这个项目被恰当地命名为OpenId4Java,并且就像一个饰物一样工作。

前两个步骤由以下代码处理: 

protectedvoiddoPost(HttpServletRequestrequest,HttpServletResponseresponse)throwsServletException,IOException{
  try{
    // API entry point
    ConsumerManagermanager=newConsumerManager();

    // Get available endpoints
    List<?>discoveries=manager.discover("https://www.google.com/accounts/o8/id");

    // Bind to endpoint
    DiscoveryInformationdiscovered=manager.associate(discoveries);

    // Create the auth request, providing return URL
    AuthRequestauthReq=manager.authenticate(discovered,request.getRequestURL().toString());

    // Redirects to provider login page
    response.sendRedirect(authReq.getDestinationUrl(true));

  }catch(Exceptione){
    thrownewServletException(e);
  }
}

只需尝试使用先前的代码,我们的用户就会进入Google的登录页面! 用户通过身份验证后,他将被发送回我们的应用程序:我们只需要管理令牌以验证其完整性即可。 OpenId4Java也可以做到这一点(必须对先前的代码进行一些修改,您可以在源代码中找到它): 

protectedvoiddoGet(HttpServletRequestrequest,HttpServletResponseresponse)throwsServletException,IOException{
  ParameterListopenidResp=newParameterList(request.getParameterMap());
  DiscoveryInformationdiscovered=(DiscoveryInformation)request.getSession().getAttribute("discovered");
  StringBufferreceivingURL=request.getRequestURL();
  StringqueryString=request.getQueryString();

  if(queryString!=null&&queryString.length()>0){
    receivingURL.append("?").append(request.getQueryString());
  }

  try{
    VerificationResultverification=manager.verify(receivingURL.toString(),openidResp,discovered);
    Identifierverified=verification.getVerifiedId();

    if(verified!=null){
      AuthSuccessauthSuccess=(AuthSuccess)verification.getAuthResponse();
      request.getRequestDispatcher("/WEB-INF/page/welcome.jsp").forward(request,response);
    }else{
      request.getRequestDispatcher("/").forward(request,response);
    }
  }catch(Exceptione){
    thrownewServletException(e);
  }
}

更好的是,Google支持OpenId扩展,即属性交换扩展(AX)。 当然,如果我们得到用户的同意,这可以让我们从OpenId提供程序中查询有关用户的信息。 OpenId4Java与这样的扩展无缝集成,我们只需要对请求和响应进行一些更新: 

FetchRequestfetch=FetchRequest.createFetchRequest();
fetch.addAttribute("Email","http://schema.openid.net/contact/email",true);
fetch.addAttribute("FirstName","http://axschema.org/namePerson/first",true);
fetch.addAttribute("LastName","http://axschema.org/namePerson/last",true);
fetch.addAttribute("Country","http://axschema.org/contact/country/home",true);
fetch.addAttribute("Lang","http://axschema.org/pref/language",true);
authReq.addExtension(fetch);
if(authSuccess.hasExtension(OPENID_NS_AX)){
  MessageExtensionext=authSuccess.getExtension(OPENID_NS_AX);
  if(extinstanceofFetchResponse){
    FetchResponsefetch=(FetchResponse)ext;
    request.setAttribute("EMAIL",fetch.getAttributeValue("Email"));
    request.setAttribute("FIRST_NAME",fetch.getAttributeValue("FirstName"));
    request.setAttribute("LAST_NAME",fetch.getAttributeValue("LastName"));
    request.setAttribute("COUNTRY",fetch.getAttributeValue("Country"));
    request.setAttribute("LANG",fetch.getAttributeValue("Lang"));
  }
}

使用OpenId和OpenId4Java,使用身份联合实际上只需几分钟!

您将在此处找到Eclipse / Maven格式的示例项目的源代码

更进一步:

翻译自: https://blog.frankel.ch/identity-federation-and-openid/

openid:身份认证

dlz00001
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
openid-client之OpenID Connect认证示例
何虎军
11-25 670
openid client是nodejs端openid的一个客户端实现的库,支持passport库。
通过实例理解OpenID身份认证
最新发布
TonyBai
12-23 1128
在《通过实例理解OAuth2[1]》一文中,我们以实例方式讲解了OAuth2授权码模式(Authorization Code)模式的工作原理。实例中的照片冲印服务经过用户(tonybai)的授权后,使用用户提供的code(实则是由授权服务器分配并通过用户的浏览器重定向到照片冲印服务的)到授权服务器换取了access token,并最终使用access token从云盘系统中读取到了用户的照片信息。...
IdentityServer3:.NET开源OpenID和OAuth2架构
zhanglong_longlong的专栏
07-15 302
简介 大多数软件的相互沟通图:客户端与Web应用程序的访问、应用与Web api、api与api……相互沟通则需要授权、身份验证 IdentityServer3的功能:Web认证、SSO单点登录、Web Api访问权限(常用的这三个) RP:依赖方 OP:OpenID Provider IP:Id Provider STS:安全令牌服务 Scope:范围标识...
身份验证——谈谈OpenID
touchmm
09-12 261
说明:此为06年11月写的旧文,还没在CSDN发过,补发一下。 听说今年的网志年会上有一个讨论OpenID的专题。对于网站的身份验证问题不算一个新话题,自从当年MS推出并热炒passport的时候就已经开始了。即使是OpenID也出来有一阵子了。 不过我是看了前一段ZOLA对OpenID的大力推广之后,才开始去了解这个技术。虽然OpenID有自己很大的优势,但同样存在着一些目前不可克服的困难。 ...
OPENID互信机制及实现方案
sunhuiliang85的专栏
02-21 4489
OPENID互信机制及实现方案 1.OpenID服务 系统通过 OpenID,可以声明一个标识符,然后在采用 OpenID 协议的任意系统上使用它。   1.1使用OpenID服务的方案 身份验证的目的是要用户证明其身份。这样做可以保护Web资源,使其免受恶意访问者的攻击。各业务系统在进行业务操作前需要调用基于OpenID协议的服务组件进行身份验证。该组件提供了调用OpenID提供者(O
keycloak 开源身份和访问管理系统
08-12
keycloak 开源身份和访问管理系统,为应用程序和安全服务添加身份验证功能,事半功倍。 无需存储用户或验证用户。 Keycloak 提供用户联盟、强身份验证、用户管理、细粒度授权等功能,支持saml、openid等协议. 更新...
论文研究-基于OpenID的移动身份联合认证机制 .pdf
08-14
基于OpenID的移动身份联合认证机制,李川,,在互联网服务中采用的OpenID身份认证机制,是一种基于URI/URL的数字身份标识管理体系。当前此机制多数通过验证虚拟身份(ID)--电子邮�
dex:具有可插拔连接器的OpenID Connect身份(OIDC)和OAuth 2.0提供程序
02-02
dex-联合OpenID Connect提供程序 Dex是一种身份服务,使用来驱动其他应用程序的身份验证。 Dex通过充当其他身份提供者的门户 这使dex可以将身份验证延迟到LDAP服务器,SAML提供程序或已建立的身份提供程序(如...
Multitenancy-Microservice-FederatedIdentity-Example:多租户联合身份示例ASP.NET MVC C#
05-25
多租户和联合身份示例 存储库目标:补充有关多租户,微服务和联合身份的博客文章(请参见下文),并创建易于理解的有意义的代码存储库(如果仍然没有意义,请告诉我)。 请注意,该存储库当前尚不包含微服务示例,...
IdentityBase:IdentityBase是基于IdentityServer构建的用于Web,移动和IoT的通用身份平台
02-05
身份库 IdentityBase是建立在顶部的身份识别和访问控制解决方案 。 它提供开箱即用的单点登录... 联合身份验证网关对外部身份提供程序(如Azure Active Directory,Google,Facebook等)的支持。这使您的应用程序免受如
OpenID中文文档
01-16
OpenID协议中文汉化 2.0版 。。。。。。
小程序读取用户openid
03-15
微信小程序-获取用户Openid,通过php文件,从服务区读取相关信息
OpenID简介
打造高质量Blog
03-22 1万+
       也许大家都有这样的经历与烦恼:当你为了使用某个网站的服务时(若你还没在该网站上注册过),你不得不先注册一个帐号。当你在一堆的网站上注册帐号后,你必需面临管理这些帐号的烦恼。也许你会这样考虑,不同网站注册的帐号信息都用同一个用户名与密码,这样也许会减轻你的烦恼,但是却给你带来的安全隐患,一旦你的帐号在某个网站泄漏后。OpenID正式基于解决这类问题而提出的一个国际标准,用于打通各大
统一身份认证与授权标准介绍:OpenID,OAuth2,SAML
王浩的技术博客
08-14 1万+
统一身份认证与授权中三种最常见的Web安全协议是OpenID,OAuth和SAML。本文通过举例来介绍这三种协议的含义和之间的不同。 授权和身份验证基础知识 做为一个面向公众的网站都希望能够对每个用户进行身份验证和授权。身份验证意味着验证某人确实是他们声称的身份。授权意味着决定某个用户能够访问哪些资源,以及允许他们对这些资源执行哪些操作。 对于Facebook或Google等网站,用户可以使用一组...
[认证授权] 4.OIDC(OpenId Connect)身份认证授权(核心部分)
weixin_34268753的博客
05-30 1739
1 什么是OIDC? 看一下官方的介绍(http://openid.net/connect/): OpenID Connect 1.0 is a simple identity layer on top of the OAuth 2.0 protocol. It allows Clients to verify the identity of the End-User based on t...
了解第三方认证方式:OAuth与OpenID
xihuanyuye的博客
07-20 5664
一、常规认证 网站的常规认证方式,就是需要用户在登陆的时候输入用户名密码,再根据该用户具体对应的权限,查看该用户可以访问的目录及可以进行的功能。 在java编程领域,该方面的功能是可以通过shiro或者Spring Security来完成。都可以对用户进行较为详细的权限控制。 二、第三方认证 OAuth与OpenID可以归类为第三方认证方式,及对该用户的认证通过非本服务进行认证。下面具体解...
openid 客户端认证方法(Client Authentication methods)简介
fggdgh的博客
06-06 1521
openid 客户端认证方法(Client Authentication methods)简介
OpenID的学习和理解以及基本流程
缥缈之心
08-04 6014
OpenID是一个以用户为中心的开放的、分散的、自由的用于网络上用户身份验证的身份验证解决方案。这种方案可以让用户使用唯一的URL地址,就可以在任何支持OpenID认证的网站上登录和应用,我们可以用它建立跨域、跨应用的登录(如使用同一URL地址登录你的blog和相册等),它犹如一把“万能钥匙”可以登录所有支持OpenID认证的网站和应用,甚至我们可以用自己的个人网站URL(如blog地址)作为Op
OpenID及其原理介绍,OAuth和OpenID的区别
热门推荐
xcjing的博客
06-28 1万+
OpenID及其原理介绍 昨天和朋友谈到统一身份验证时,才知道这个OpenID的东东,汗一个先... 这是一套不别于微软的Passport(或者其他厂商的一些所谓通行证技术)的开源的解决方案,支持自己架设验证服务器。我想对于企业内部大部分应用系统实现统一登录是会有些帮助的。它的主要原理是 1. 你首先得拥有一个合法的OpenID帐号,也就是说需要在一个验证服务器申请了一个帐号。 2
Java解析出{ "access_token":"69_4SCLWqRKsWfTHT-9VcUDjv1_iB9v4NIvX3_vPaDe3oZWS5Av8pDESYHugo7HsXhmQJ5NJuhq7YoNZwCW8xAEaVM2Zhw2DeIwasGTXWEddXU", "expires_in":7200, "refresh_token":"69_gNB_6mwn4BpNWZnf2pbAxnCsCwcyKC18VbDa_K60k8knKvJ87G6_Cpo_NpINDxH9xEyUZkr6WA7JIRSh0MJ8rbVQ4iJpFILhL_8cujNOYLI", "openid":"o9UJvt-hKXxM2Y0eKDAO7YsIVSWI", "scope":"snsapi_base" }中的openid
05-27
可以使用JSON解析库来解析这个JSON字符串,然后获取其中的openid字段。以下是一个使用Gson库来解析JSON的示例代码: ```java import com.google.gson.JsonObject; import com.google.gson.JsonParser; public ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值