本文是《OAuth 2.0实战课》笔记,重点讨论OIDC(OpenID Connect)——一种基于OAuth 2.0的身份认证开放标准。介绍了OIDC的角色、关键区别及ID令牌的生成和解析方法。通过实例展示了如何使用ID令牌处理用户的登录态逻辑,以及OIDC的单点登录流程。
学习极客时间王新栋的《OAuth 2.0实战课》笔记:实战:利用OAuth 2.0实现一个OpenID Connect用户身份认证协议。
OIDC 是什么?
OIDC 其实就是一种用户身份认证的开放标准。使用微信账号登录极客时间的场景,就是这种开放标准的实践。
OIDC= 授权协议 + 身份认证
OAuth 2.0 的授权码许可流程的运转,需要资源拥有者、第三方软件、授权服务、受保护资源这 4 个角色间的顺畅通信、配合才能够完成,
在 OIDC 的官方标准框架中,EU、RP 和 OP 这三个角色对于 OIDC 非常重要:
- EU(End User),代表最终用户。
- RP(Relying Party),代表认证服务的依赖方,就是上面我提到的第三方软件。
- OP(OpenID Provider),代表提供身份认证服务方。
借助极客时间的例子,来看一下 OAuth 2.0 的 4 个角色和 OIDC 的 3 个角色之间的对应关系:
OIDC 和 OAuth 2.0 的关键区别
OIDC 就是基于 OAuth 2.0 来实现的一个身份认证协议框架,OIDC 的通信流程图帮助理解OIDC 和 OAuth 2.0 的关系:
一个基于授权码流程的 OIDC 协议流程,跟 OAuth 2.0 中的授权码许可的流程几乎完全一致,唯一的区别就是多返回了一个 ID_TOKEN,我们称之为 ID 令牌。这个令牌是身份认证的关键。
OIDC 中的 ID 令牌生成和解析方法
在上面图 2 的 OIDC 通信流程的第 6 步,我们可以看到 ID 令牌(ID_TOKEN)和访问令牌(ACCESS_TOKEN)是一起返回的。,令牌不需要被第三方软件解析,因为它对第三方软件来说是不透明的。但 ID 令牌需要能够被第三方软件解析出来,因为第三方软件需要获取 ID 令牌里面的内容,来处理用户的登录态逻辑。
ID 令牌的内容是什么呢?
5 个 JWT 声明参数也是必须要有的。
- iss,令牌的颁发者,其值就是身份认证服务(OP)的 URL。
- sub,令牌的主题,其值是一个能够代表最终用户(EU)的全局唯一标识符。
- aud,令牌的目标受众,其值是三方软件(RP)的 app_id。
- exp,令牌的到期时间戳,所有的 ID 令牌都会有一个过期时间。
- iat,颁发令牌的时间戳。
实例代码如下:
//GENATE ID TOKEN
String id_token=genrateIdToken(appId,user);
private String genrateIdToken(String appId,String user){
String sharedTokenSecret="hellooauthhellooauthhellooauthhellooauth";//秘钥
Key key = new SecretKeySpec(sharedTokenSecret.getBytes
最低0.47元/天 解锁文章
271
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
