oidc auth2.0_将Auth0 OIDC(OAUTH 2)与授权(组和角色)集成

最新推荐文章于 2024-07-21 23:04:51 发布
最新推荐文章于 2024-07-21 23:04:51 发布
阅读量504 收藏
点赞数
文章标签: linux java 数据库 js mongodb ViewUI
原文链接:https://www.javacodegeeks.com/2020/04/integrating-auth0-oidc-oauth-2-with-authorization-groups-and-roles.html
版权

oidc auth2.0

如果您正在使用Auth0对多个现有应用程序中的用户进行身份验证和授权,则可能需要将下一个Web应用程序与Auth0集成。

有多种方法可以执行此操作,例如,如果要将Jenkins与Auth0集成,则可以使用SAML v2;否则,可以使用SAML v2。 这篇博客文章解释得很好

如果您的应用程序不支持SAML v2 或使其成为企业付费功能 ,则可能需要使用OAuth2(或OIDC )集成。

让我们以开源监视解决方案Grafana为例,并将其与Auth0集成。

使用Auth0对Grafana用户进行身份验证:只需阅读文档

Grafana官方文档将向您说明如何:

  • [server]root_url选项设置为正确的回调URL
  • 在Auth0中创建一个新客户端,将允许的回调Urls设置为https://<grafana domain>/login/generic_oauth
  • 使用类似的配置来配置Grafana: 
 ; not mandatory, but ; not mandatory, but super useful to debug OAuth interactions with Auth0  [log]  level = debug  [server]  root_url = https: //<grafana domain>/  [auth.generic_oauth]  enabled = true  allow_sign_up = true  team_ids =  allowed_organizations =  name = Auth0  client_id = <client id>  client_secret = <client secret>  scopes = openid profile email  auth_url = https: //<domain>/authorize  token_url = https: //<domain>/oauth/token  api_url = https: //<domain>/userinfo

问题是……您将不会获得任何授权。 您的所有Auth0用户都将能够登录Grafana,但默认情况下将被分配为Viewer角色。 这是因为Grafana需要从Auth0接收有关登录用户角色的其他信息。 

 t= 2020 - 04 -14T11: 39 : 03 + 0000 lvl=dbug msg= "Received user info response" logger=oauth.generic_oauth raw_json= "{\"sub\":\"auth0|5e87486a85dd980c68d912c4\",\"nickname\":\"anthony\",\"name\":\"anthony@host.net\",\"picture\":\" https://s.gravatar.com/avatar/79033b96a632e4ea71b59fe9554c53a2?s=480&r=pg&d=https%3A%2F%2Fcdn.auth0.com%2Favatars%2Fan.png \",\"updated_at\":\"2020-04-14T11:39:02.862Z\",\"email\":\"anthony@host.net\",\"email_verified\":false}" data= "Name: anthony@host.net, Displayname: , Login: , Username: , Email: anthony@host.net, Upn: , Attributes: map]"  t= 2020 - 04 -14T11: 39 : 03 + 0000 lvl=dbug msg= "User info result" logger=oauth.generic_oauth result= "&{Id: Name:anthony@host.net Email:anthony@host.net Login:anthony@host.net Company: Role: Groups:]}"  t= 2020 - 04 -14T11: 39 : 03 + 0000 lvl=dbug msg= "OAuthLogin got user info" logger=oauth userInfo= "&{Id: Name:anthony@host.net Email:anthony@host.net Login:anthony@host.net Company: Role: Groups:]}"

如果查看上面的Grafana调试日志,则会看到该用户已登录,但是由于未映射任何角色,因此为该用户分配了Viewer角色

Auth0中的授权:安装扩展,然后设置组和角色

在Auth0中,您首先需要添加Authorization扩展 ,然后将提示您配置扩展:

完成后(确保启用“组和角色”,然后旋转并按发布规则),然后可以创建一些组

然后,您可以将用户添加到Admin组

如果您回到Auth0,更确切地说是规则面板,则会看到该扩展已添加并激活了新规则

不幸的是,这还不够:我们需要让Auth0丰富发送回Grafana的userinfo ; 在上一章中,我们看到了Grafana调试日志显示给我们: 


   { 
     "sub" : "auth0|5e87486a85dd980c68d912c4" , 
     "nickname" : "anthony" , 
     "name" : "anthony@host.net" , 
     "picture" : " https://s.gravatar.com/avatar/79033b96a632e4ea71b59fe9554c53a2?s=480&r=pg&d=https%3A%2F%2Fcdn.auth0.com%2Favatars%2Fan.png " , 
     "updated_at" : "2020-04-14T11:39:02.862Z" , 
     "email" : "anthony@host.net" , 
     "email_verified" : false 
   }

因此,要使用组信息丰富此json对象,我们需要创建另一个规则,以丰富用户个人资料; 让我们创建一个新规则(我将其命名为add-groups )并添加以下代码: 

 function addAttributes(user, context, callback) { 
   const namespace = ' https://dahanne.net/ ' ; 
   context.idToken[namespace + 'groups' ] = user.groups; 
   callback( null , user, context);  }

现在,我们应该对Auth0租户应用2条规则:

如果您现在重新登录Grafana,您的Grafana个人资料将不会有任何更改。 但是如果您查看日志,尤其是raw_json userinfo对象中的raw_json ,您会注意到我们的规则添加了一个新字段: 


   { 
     "sub" : "auth0|5db0908a8bc0400c5c05604e" , 
     "nickname" : "anthony" , 
     "name" : "anthony@host.net" , 
     "picture" : " https://s.gravatar.com/avatar/79033b96a632e4ea71b59fe9554c53a2?s=480&r=pg&d=https%3A%2F%2Fcdn.auth0.com%2Favatars%2Fan.png " , 
     "updated_at" : "2020-04-13T22:49:58.965Z" , 
     "email" : "anthony@host.net" , 
     "email_verified" : true , 
     " https://dahanne.net/groups " : [ 
       "Admin" 
     ] 
   }

现在,我们需要指导Grafana如何读取这个新字段,并使用它来为我们的用户个人资料分配一个组。

返回到Grafana,使用JMESPath从Auth0响应中检索用户角色

我们首先需要阅读Grafana JMESPath的文档

从文档中,我们可以推断出我们需要这样的映射: 

 role_attribute_path = contains( " https://dahanne.net/groups " [*], 'Admin' ) && 'Admin' || contains( || contains( " https://dahanne.net/groups " [*], 'Editor' ) && 'Editor' || 'Viewer'

现在,如果您重新登录Grafana,并查看调试日志,您将看到Auth0中的新字段: 

 lvl=dbug msg= "User info result" logger=oauth.generic_oauth result= "&{Id: Name:anthony@host.net Email:anthony@host.net Login:anthony@host.net Company: Role:Admin Groups:]}"

当然,您在Grafana中的用户个人资料现已更新:

最后的话

尽管认证集成已被很好地证明,但我在弄清楚授权部分时还是遇到了麻烦……起初,我尝试在Auth0规则中丰富user对象,但只有丰富上下文idToken (感谢我的同事Brett帮助我解决了问题)那); 更重要的是,作为URL的名称空间也是必须的!

不过,在Grafana方面,开箱即用时一切都很好。 调试日志确实有帮助!

翻译自: https://www.javacodegeeks.com/2020/04/integrating-auth0-oidc-oauth-2-with-authorization-groups-and-roles.html

oidc auth2.0

dnc8371
关注
oidc auth2.0_使用Spring Security 5.0和OIDC轻松构建身份验证
最佳 Java 编程
07-02 3518
oidc auth2.0 “我喜欢编写身份验证和授权代码。” 〜从来没有Java开发人员。 厌倦了一次又一次地建立相同的登录屏幕? 尝试使用Okta API进行托管身份验证,授权和多因素身份验证。 Spring Security不仅是一个功能强大且可高度自定义的身份验证和访问控制框架,它还是保护基于Spring的应用程序的实际标准。 从前,Spring Security需要使用大量的XML来...
OIDC & OAuth2.0 协议及其授权模式详解|认证协议最佳实践系列【1】
Authing的博客
02-22 1007
OIDC & OAuth2.0 协议最佳实践系列。
auth:使用本地存储和Auth0 OAuth2流的客户端JWT auth
03-01
验证码 使用本地存储和Auth0 OAuth2流的客户端JWT身份验证。 用法 import { getSession , deleteSession , createAuth } from "@tridnguyen/auth" ; const auth = createAuth ( ) ; auth . handleCallback ( ( err ) => { if ( err ) { console . error ( err ) ; return ; } else { console . log ( getSession ( ) ) ; } } ) ; function login ( ) { auth . silentAuth ( ) ; } function logout ( ) { deleteSession ( ) ; } con
Auth0 OIDCOAUTH 2)与授权组和角色集成
最佳 Java 编程
06-16 564
如果您正在使用Auth0对多个现有应用程序中的用户进行身份验证和授权,则可能需要将下一个Web应用程序与Auth0集成。 有多种方法可以执行此操作,例如,如果要将Jenkins与Auth0集成,则可以使用SAML v2;否则,可以使用SAML v2。 这篇博客文章解释得很好 。 如果您的应用程序不支持SAML v2 或使其成为企业付费功能 ,则可能需要使用OAuth2(或OIDC )...
OAuth 2.0
最新发布
qq_52659547的博客
07-21 1150
OAuth 2.0
auth2_将Auth0 OIDCOAUTH 2)与授权组和角色集成
cunhui1209的博客
01-08 394
auth2 如果您正在使用Auth0对多个现有应用程序中的用户进行身份验证和授权,则可能需要将下一个Web应用程序与Auth0集成。 有多种方法可以执行此操作,例如,如果要将Jenkins与Auth0集成,则可以使用SAML v2;否则,可以使用SAML v2。 这篇博客文章解释得很好。 如果您的应用程序不支持SAML v2或使其成为企业付费功能,则可能需要使用OAuth2(或OIDC )集...
oauth0 oauth2_使用oauth确保本机React
weixin_26646901的博客
09-06 810
oauth0 oauth2In this tutorial, we will set up a React Native application to work with OAuth. We’ll use FusionAuth for auth, but the React Native code should work with any OAuth compliant server.在本教程中,...
oauth0 oauth2_OAuth的运作方式
weixin_26722031的博客
07-30 208
oauth0 oauth2OAuth is one of those technologies that is almost as widely misunderstood as it’s used. In this article, let’s strip away the jargon and really understand how the technology behind OAuth ...
Python库 | keystone_oidc_auth_plugin-1.0.0-py3-none-any.whl
03-21
OIDC是一种基于OAuth 2.0的安全身份验证协议,它允许用户通过一个受信任的认证提供商(Identity Provider, IDP)验证其身份。通过OIDC,服务提供者(Service Provider, SP)如OpenStack可以验证用户身份,而无需直接...
angular-auth-oidc-client:用于OpenID Connect的npm软件包,带有PKCE的OAuth代码流,刷新令牌,隐式流
02-04
用于OpenID Connect和OAuth2的Angular库 具有PKCE的OpenID代码流,具有刷新令牌的代码流,OpenID Connect隐式流 OpenID认证 该库通过OpenID Foundation。 (RP隐式和配置RP) 产品特点 通过PKCE支持OpenID Connect...
Auth2.0拿code换token,拿token换用户信息
lonelyVM的博客
05-27 3592
先post一篇介绍Auth2.0的文章:Auth2.0, 链接失效的话,看本地PDF文件。 来源于WeChat公众号:低并发编程 之前做过oidc的权限登陆,原理基本上就是Auth2.0。 auth2.0有好几种认证模式,一般大家用的也都是授权码模式(也就是多一步返回code的操作)。 下面先引用作知乎用户回答: 链接:https://www.zhihu.com/question/27446826/answer/127367856 先确认一下 oauth2 code 认证的角色 1,client——通
oidc-auth-manager:一个OpenID Connect(OIDC)身份验证管理器(OP,RP和RS),用于分散的对等身份验证
05-06
OIDC分散式身份验证管理器 一个OpenID Connect(OIDC)对等节点(身份提供者,依赖方,授权服务器和资源服务器的组合),用于诸如分散式身份验证项目。
Oauth2.0四种授权模式适用场景和授权流程介绍以及个人的一些思考
玖涯博客
03-09 5053
Oauth 协议为用户资源的授权提供了一个安全的、开放而又简易的标准,先前曾经了解过在 spring-security-oauth2 中 Oauth 四种模式的实现,也通过 Shiro 实现了 Oauth授权流程。 目前 spring-security-oauth2 已经被逐步废弃,Spring 也提供了新的框架 spring-authorization-server,整个框架基于 Oauth 2.1 开发。目前重新整理项目代码,借此机会详细梳理一遍 Oauth2.0 授权模式的适用场景和授权流程,
统一身份认证系统已经升级,涉及cas\OAuth2.0的认证集成部分已经平滑切换。涉及LDAP的认证需要各系统连接新的LDAP进行验证,各系统验证没问题后,统一切换。...
weixin_42602726的博客
02-10 108
您的意思是统一身份认证系统已经升级,其中包括CAS和OAuth2.0认证集成部分已经顺利过渡,但涉及LDAP的认证需要各系统连接新的LDAP进行验证,并且只有在所有系统都进行了验证并且没有问题之后,才会进行统一切换。是这样吗? ...
OAuth 2.0 构建微服务身份认证(一):授权模式选择
kylin058的博客
08-23 1万+
从单体应用架构到分布式应用架构再到微服务架构,应用的安全访问在不断的经受考验。为了适应架构的变化、需求的变化,身份认证与鉴权方案也在不断的变革。面对数十个甚至上百个微服务之间的调用,如何保证高效安全的身份认证?面对外部的服务访问,该如何提供细粒度的鉴权方案?本文将会为大家阐述微服务架构下的安全认证与鉴权方案。 单体应用 VS 微服务 随着微服务架构的兴起,传统的单体应用场景下的身份认证
Springboot 3 + Spring Security 6 + OAuth2 入门级最佳实践
热门推荐
m0_64469199的博客
05-03 1万+
当我的项目基于 SpringBoot 3 而我想使用Spring Security,最终不幸得到WebSecurityConfigurerAdapter被废弃的消息。本文档就是在这样的情况下产生的。
4.监控展示系统Grafana和LDAP用户认证平台集成方法
liyuanjie的博客
12-20 1079
Grafana和LDAP用户认证平台的集成步骤和操作方法
Grafana 8.5.2 配置文件说明
tt212的博客
05-18 3690
Grafana 8.5.2 配置文件
使用Auth0的安全无密码身份验证
代码教主
06-19 2188
在本文中,您将学习如何使用Auth0服务设置无密码身份验证。 Auth0允许您外包应用程序的身份验证功能。 什么是Auth0Auth0是一种身份验证即服务工具,可轻松实现您的应用或网站与身份验证相关的功能的实现。 如果您已经构建了一个应用程序并且只想将身份验证和授权功能外包,则应考虑使用Auth0之类的服务。 让我快速总结一下Auth0提供的功能: 单点登录 多因素认证...
OIDCOAuth2.0区别
05-29
OIDC(OpenID Connect)和OAuth2.0都是互联网上的身份验证和授权框架,它们有一些相似之处,但也有不同之处。 OAuth 2.0是一个授权框架,用于允许用户授权第三方应用程序访问他们的受保护资源,例如用户数据。它...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值