将Auth0 OIDC(OAUTH 2)与授权(组和角色)集成

最新推荐文章于 2024-09-28 07:20:56 发布
最新推荐文章于 2024-09-28 07:20:56 发布
阅读量593 收藏
点赞数 1
文章标签: java linux 数据库 js spring ViewUI

如果您正在使用Auth0对多个现有应用程序中的用户进行身份验证和授权,则可能需要将下一个Web应用程序与Auth0集成。

有多种方法可以执行此操作,例如,如果要将Jenkins与Auth0集成,则可以使用SAML v2;否则,可以使用SAML v2。 这篇博客文章解释得很好

如果您的应用程序不支持SAML v2 或使其成为企业付费功能 ,则可能需要使用OAuth2(或OIDC )集成。

让我们以开源监视解决方案Grafana为例,并将其与Auth0集成。

使用Auth0对Grafana用户进行身份验证:只需阅读文档

Grafana官方文档将向您说明如何:

  • [server]root_url选项设置为正确的回调URL
  • 在Auth0中创建一个新客户端,将允许的回调Urls设置为https://<grafana domain>/login/generic_oauth
  • 使用类似的配置来配置Grafana: 
 ; not mandatory, but ; not mandatory, but super useful to debug OAuth interactions with Auth0  [log]  level = debug  [server]  root_url = https: //<grafana domain>/  [auth.generic_oauth]  enabled = true  allow_sign_up = true  team_ids =  allowed_organizations =  name = Auth0  client_id = <client id>  client_secret = <client secret>  scopes = openid profile email  auth_url = https: //<domain>/authorize  token_url = https: //<domain>/oauth/token  api_url = https: //<domain>/userinfo

问题是……您将不会获得任何类型的授权。 您的所有Auth0用户都将能够登录Grafana,但默认情况下将被分配为Viewer角色。 这是因为Grafana需要从Auth0接收有关登录用户角色的其他信息。 

 t= 2020 - 04 -14T11: 39 : 03 + 0000 lvl=dbug msg= "Received user info response" logger=oauth.generic_oauth raw_json= "{\"sub\":\"auth0|5e87486a85dd980c68d912c4\",\"nickname\":\"anthony\",\"name\":\"anthony@host.net\",\"picture\":\" https://s.gravatar.com/avatar/79033b96a632e4ea71b59fe9554c53a2?s=480&r=pg&d=https%3A%2F%2Fcdn.auth0.com%2Favatars%2Fan.png \",\"updated_at\":\"2020-04-14T11:39:02.862Z\",\"email\":\"anthony@host.net\",\"email_verified\":false}" data= "Name: anthony@host.net, Displayname: , Login: , Username: , Email: anthony@host.net, Upn: , Attributes: map]"  t= 2020 - 04 -14T11: 39 : 03 + 0000 lvl=dbug msg= "User info result" logger=oauth.generic_oauth result= "&{Id: Name:anthony@host.net Email:anthony@host.net Login:anthony@host.net Company: Role: Groups:]}"  t= 2020 - 04 -14T11: 39 : 03 + 0000 lvl=dbug msg= "OAuthLogin got user info" logger=oauth userInfo= "&{Id: Name:anthony@host.net Email:anthony@host.net Login:anthony@host.net Company: Role: Groups:]}"

如果查看上面的Grafana调试日志,则会看到该用户已登录,但是由于未映射任何角色,因此为该用户分配了Viewer角色

Auth0中的授权:安装扩展,然后设置组和角色

在Auth0中,您首先需要添加Authorization扩展 ,然后将提示您配置扩展:

完成后(确保启用“组和角色”,然后旋转并按发布规则),然后可以创建一些组

然后,您可以将用户添加到Admin组

如果您回到Auth0,更确切地说是规则面板,则会看到该扩展添加并激活了新规则

不幸的是,这还不够:我们需要让Auth0丰富发送回Grafana的userinfo ; 在上一章中,我们看到了Grafana调试日志显示给我们: 


   { 
     "sub" : "auth0|5e87486a85dd980c68d912c4" , 
     "nickname" : "anthony" , 
     "name" : "anthony@host.net" , 
     "picture" : " https://s.gravatar.com/avatar/79033b96a632e4ea71b59fe9554c53a2?s=480&r=pg&d=https%3A%2F%2Fcdn.auth0.com%2Favatars%2Fan.png " , 
     "updated_at" : "2020-04-14T11:39:02.862Z" , 
     "email" : "anthony@host.net" , 
     "email_verified" : false 
   }

因此,要使用组信息丰富此json对象,我们需要创建另一个规则,以丰富用户个人资料; 让我们创建一个新规则(我将其命名为add-groups )并添加以下代码: 

 function addAttributes(user, context, callback) { 
   const namespace = ' https://dahanne.net/ ' ; 
   context.idToken[namespace + 'groups' ] = user.groups; 
   callback( null , user, context);  }

现在,我们应该对Auth0租户应用2条规则:

如果您现在重新登录Grafana,您的Grafana个人资料将不会看到任何更改。 但是如果您查看日志,特别是raw_json userinfo对象中的raw_json ,则会注意到我们的规则添加了一个新字段: 


   { 
     "sub" : "auth0|5db0908a8bc0400c5c05604e" , 
     "nickname" : "anthony" , 
     "name" : "anthony@host.net" , 
     "picture" : " https://s.gravatar.com/avatar/79033b96a632e4ea71b59fe9554c53a2?s=480&r=pg&d=https%3A%2F%2Fcdn.auth0.com%2Favatars%2Fan.png " , 
     "updated_at" : "2020-04-13T22:49:58.965Z" , 
     "email" : "anthony@host.net" , 
     "email_verified" : true , 
     " https://dahanne.net/groups " : [ 
       "Admin" 
     ] 
   }

现在,我们需要指导Grafana如何读取这个新字段,并使用它来为我们的用户个人资料分配一个组。

返回到Grafana,使用JMESPath从Auth0响应中检索用户角色

我们首先需要阅读Grafana JMESPath的文档

从文档中,我们可以推断出我们需要这样的映射: 

 role_attribute_path = contains( " https://dahanne.net/groups " [*], 'Admin' ) && 'Admin' || contains( || contains( " https://dahanne.net/groups " [*], 'Editor' ) && 'Editor' || 'Viewer'

现在,如果您重新登录Grafana,并查看调试日志,您将看到Auth0中的新字段: 

 lvl=dbug msg= "User info result" logger=oauth.generic_oauth result= "&{Id: Name:anthony@host.net Email:anthony@host.net Login:anthony@host.net Company: Role:Admin Groups:]}"

当然,您在Grafana中的用户个人资料现已更新:

最后的话

尽管认证集成已被很好地证明,但我在弄清楚授权部分时还是遇到了麻烦……起初,我尝试在Auth0规则中丰富user对象,但只有丰富上下文idToken (感谢我的同事Brett帮助我解决了问题)那); 更重要的是,作为URL的名称空间也是必须的!

不过,在Grafana方面,开箱即用时一切都很好。 调试日志确实有帮助!

翻译自: https://www.javacodegeeks.com/2020/04/integrating-auth0-oidc-oauth-2-with-authorization-groups-and-roles.html

dnc8371
关注
auth0-oidc-client-net:适用于.NET桌面和移动应用程序的OIDC客户端
02-06
NET的Auth0 OIDC客户端 适用于.NET桌面(WinForms,WPF和UWP)以及基于Xamarin的iOS和Android移动应用程序的OIDC客户端。 该库使用库,并使用存储库中的代码来实现浏览器集成。 有关如何使用此库的信息,请参考相关的快速入门: 以及的。 v3中的重大更改 该库的版本3包含许多潜在的重大更改,具体取决于您的用法。 请阅读 。 执照
Auth0概要
苏美尔人的天空
01-02 1万+
Auth0提供了验证和授权的服务。     Auth0提供给了程序员和公司构建模块,使得保护应用程序变成一件简单的事,开发者不需要成为安全领域的专家,即可以轻松构建安全的应用。     你可以将任何应用(基于任何栈的任一种语言)连接到Auth0,也可以定义你想要使用的身份提供者(你想怎样让用户登录)。     你可以基于应用程序所使用的技术来选择相应的SDK(或者调用我们的API)来连接你的
Auth0.NET 项目使用教程
最新发布
gitblog_00394的博客
09-28 796
Auth0.NET 项目使用教程 auth0.net .NET client for the Auth0 Authentication & Management APIs. 项目地址: https://gitcode.com/gh...
再见,Auth0 公司 - 突然被裁员后,我总结了这六年的工作经历(译)
阿然的专栏
02-21 739
上周四,从邮件得知我被裁员了,于是写下了六年来在 Auth0 公司的回顾和总结。
Auth0认证
levin blog
05-31 3154
Auth0认证Auth0 认证目标场景Step 1 - Configure Auth0Step 2 - LoginStep 3 - Calling an APIAuthorization Code Flow with Proof Key for Code Exchange (PKCE) Auth0 认证 这个项目是用于理解 Auth0 在 react 项目中如何实现身份验证、授权和许可。 Auth0 作为身份认证云服务商,提供了一整套 SDK 和 API 便于 APP 开发者可以更加关注与业务逻辑实现。 目
Auth0基础
苏美尔人的天空
01-09 4900
上一篇:Auth0概要     让我们了解一下有关Auth0的基本术语。     本文用了一个例子来说明Auth0的三个主要的概念:域名(domains)、客户端(clients)和连接(connections)。     我们将使用一个非常简单的例子:一个名叫Example-Co的公司想要用Auth0作用户认证。这家公司有一个网页应用和一个手机应用,他们希望公司的用户可以选择用户名/密码登
sample-angular-oauth2-oidc-with-auth-guards:angular-oauth2-oidc库与AuthGuard一起工作的基本示例
01-30
带有AuthGuard的示例angular-oauth2-oidc 该存储库显示了带有Angular 和Angular AuthGuard的基本Angular CLI应用程序。 :warning: 第三方Cookie 浏览器供应商正在围绕Cookie实施越来越严格的规则。 对于带有第三方域...
angular-auth-oidc-client:用于OpenID Connect的npm软件包,带有PKCE的OAuth代码流,刷新令牌,隐式流
02-04
用于OpenID Connect和OAuth2的Angular库 具有PKCE的OpenID代码流,具有刷新令牌的代码流,OpenID Connect隐式流 OpenID认证 该库通过OpenID Foundation。 (RP隐式和配置RP) 产品特点 通过PKCE支持OpenID Connect...
vouch-proxy:使用auth_request模块的Nginx的SSO和OAuth OIDC登录解决方案
03-31
Vouch Proxy支持许多OAuthOIDC登录提供程序,并可以强制执行身份验证以... 谷歌 GitHub企业版钥匙斗篷其他大多数OpenID Connect(OIDC)提供商当您将您的IdP或库部署到Vouch Proxy后,请务必告知我们,以便我们...
Blazor.Auth0:在Blazor应用程序中使用Auth0的库
02-05
Auth0是一个提供身份验证和授权即服务的平台。 为开发人员和公司提供构建应用程序所需的构建块,而不必成为安全专家。 您可以将任何应用程序(以任何语言或在任何堆栈上编写)连接到Auth0,并定义要使用的身份提供...
angular-oauth2-oidc:在Angular中支持OAuth 2和OpenId Connect(OIDC
04-29
angular-oauth2-oidc 在Angular中支持OAuth 2和OpenId Connect(OIDC)。 已经为即将到来的OAuth 2.1做好了准备。学分用于验证令牌签名和散列用于通过.NET / .NET Core后端进行测试使用Java进行测试的资源来源和示例...
auth2_将Auth0 OIDCOAUTH 2)与授权组和角色集成
cunhui1209的博客
01-08 409
auth2 如果您正在使用Auth0对多个现有应用程序中的用户进行身份验证和授权,则可能需要将下一个Web应用程序与Auth0集成。 有多种方法可以执行此操作,例如,如果要将Jenkins与Auth0集成,则可以使用SAML v2;否则,可以使用SAML v2。 这篇博客文章解释得很好。 如果您的应用程序不支持SAML v2或使其成为企业付费功能,则可能需要使用OAuth2(或OIDC )集...
Springboot 3 + Spring Security 6 + OAuth2 入门级最佳实践
热门推荐
m0_64469199的博客
05-03 1万+
当我的项目基于 SpringBoot 3 而我想使用Spring Security,最终不幸得到WebSecurityConfigurerAdapter被废弃的消息。本文档就是在这样的情况下产生的。
CSRF(跨站请求伪造)详细说明
ysyswywl2的博客
07-09 3820
Cross-Site Request Forgery(CSRF),中文一般译作跨站请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。 通常情况下,有三种方法被广泛用来防御CSRF攻击:验证token,验证HTTP请求的Referer,还有验证XMLHttpRequests里
JWT---Json Web Token
龙梓琦的博客
04-22 1690
一. 了解Auth0 一.简介 Auth0是一个身份管理平台 Auth0主要提供身份认证(即登录账号)与授权服务(不同级别的用户被允许访问的应用资源不同,即权限不同) 你的应用可以连接Auth0并定义你想使用哪些身份提供者(IdP),这决定了你的用户可以通过哪些身份提供者(比如:微软AD、谷歌账号、Facebook账号、GitHub账号等)登录你的应用。 基于你的应用里所用的编程语言和技术,你可以选择Auth0提供的相关SDK(或者直接嗲用Auth0的API)。这样每次用户尝试身份认证(登录)时
grafana接入oauth2
qq_43801592的博客
02-22 6128
grafana接入oauth2 grafana配置 安装grafana之后,配置文件grafana.ini默认会在/etc/grafana路径下 修改grafana.ini配置 vim grafana.ini 要修改部分 [server] # Protocol (http, https, h2, socket) ;protocol = http # The ip address to bind to, empty will bind to all interfaces ;http_addr = #
4.监控展示系统Grafana和LDAP用户认证平台集成方法
liyuanjie的博客
12-20 1118
Grafana和LDAP用户认证平台的集成步骤和操作方法
Grafana 8.5.2 配置文件说明
tt212的博客
05-18 3784
Grafana 8.5.2 配置文件
使用Auth0的安全无密码身份验证
代码教主
06-19 2232
在本文中,您将学习如何使用Auth0服务设置无密码身份验证。 Auth0允许您外包应用程序的身份验证功能。 什么是Auth0Auth0是一种身份验证即服务工具,可轻松实现您的应用或网站与身份验证相关的功能的实现。 如果您已经构建了一个应用程序并且只想将身份验证和授权功能外包,则应考虑使用Auth0之类的服务。 让我快速总结一下Auth0提供的功能: 单点登录 多因素认证...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值