OAuth2.0协议(四)、基于OAuth2.0的OIDC认证协议

最新推荐文章于 2024-04-24 16:11:23 发布
最新推荐文章于 2024-04-24 16:11:23 发布
阅读量1.8k 收藏 5
点赞数 1
分类专栏: 认证授权 文章标签: OIDC协议 OAuth2.0
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/it_lihongmin/article/details/122463522
版权

    OIDC(OpenID Connect)协议建立在OAuth2.0协议的基础上,这里需要分清OAuth2.0是一个授权协议,而OIDC是一个认证协议,特别容易搞混。只是OAuth授权框架中包含了部分需要调用认证的信息,而IODC协议利用了OAuth2.0的认证流程(或者利用了去管道、通道)并增加了输出了id_token和OpenId(认证结果和标识)。可以理解:

IODC【OpenID Connect】 = OAuth2.0【授权协议】 + 身份认证; 

IODC定义了三个角色:

  • EU(End User):最终用户;
  • RP(Relying Party):认证服务的依赖方,即三方服务;
  • OP(OpenID Provider):提供身份认证服务方;

IODC的三个角色与OAuth2.0的四个角色的映射关系为:

 IODC对OAuth2.0最主要的扩展就是在获取access_token的时候,增加返回了id_token,而id_token是一个安全令牌,是一个授权服务器提供的包含用户信息(由一组Cliams构成以及其他辅助的Cliams)的jwt格式的数据结构。由于是jwt格式的令牌,所以也可以设置以下属性值,可以与jwt中的payload属性对应,如下:

  • iss: 令牌的颁发者,其值就是身份认证服务(OP)的 URL;
  • sub: 令牌的主题,其值是一个能够代表最终用户(EU)的全局唯一标识符;
  • aud: 令牌的目标受众,其值是三方软件(RP)的 app_id;
  • exp: 令牌的到期时间戳,所有的 ID 令牌都会有一个过期时间;
  • iat: 颁发令牌的时间戳;
{
    "iss": "https://server.example.com",
    "sub": "24400320",
    "aud": "s6BhdRkqt3",
    "nonce": "n-0S6_WzA2Mj",
    "exp": 1311281970,
    "iat": 1311280970,
    "auth_time": 1311280969,
    "acr": "urn:mace:incommon:iap:silver"
}

    虽然IODC是基于OAuth2.0协议,并且角色信息也可以进行映射,但是需要注意:OAuth2.0规范中定义了四种授权类型(授权流程)来应对不同的环境,并且后续还增加了PKCE协议来应对单页(SPA)或者没有服务端的APP, 而OIDC认证流程只有三种,分别是:

  • Authorization Code Flow:使用OAuth2.0的授权码来换取access_token和id_token,即本身会走OAuth2.0的授权码认证流程;
  • Implicit Flow:使用OAuth2.0的Implicit流程获取 access_token和id_token,对应OAuth2.0的隐式许可流程,但是这种认证存在安全隐患一般不建议使用(之前说过使用PKCE代替);
  • Hybrid Flow:混合Authorization Code Flow + Implicit Flow;

    OAuth2.0中还有资源拥有者凭据许可类型(Resource Owner Password Credentials Grant)、客户端类型(Client Credentials Grant)的授权流程,为什么OIDC没有对应的认证流程呢? 

    资源拥有者凭据许可类型的使用场景是三方服务本身是被平台(授权服务、受保护资源服务)信任的,或者本来就是一个公司或者团队开发的,该流程直接使用 用户名和密码换取access_token,既然用户名称密码都给到RP(Reply Provider)了,就不需要id_token了;而客户端授权类型是三方服务端直接调用受保护资源服务,其中根本就没有EU(End User)的参与,没有用户更谈不上用户的身份认证了。这也能反映出授权和认证的差异,并且只使用OAuth2.0来做身份认证是远远不够的,也是不合适的。

    

IODC基于OAuth2.0授权码认证流程(最完整流程)的单点登录流程如下:

OIDC VS OAuth2.0的理解:

OAuth2.0是一个授权协议或者思想,只是认证的前提是需要登录,即利用了认证;OIDC建立在OAuth2.0的基础上,并且只是在授权码许可流程的第二阶段增加返回了OpenId(表示用户认证的唯一结果)、id_token(jwt类型)。

access_token VS id_token的理解:

    access_token是 是否允许代表(access),而id_token是用户态的标识。授权过程利用了登录,而认证利用了授权的通道,增加了id_token的返回【既然OAuth2.0已经有了通道流程,就没有必要自己再造轮子了】。

    一般情况下,id_token的过期时间比access_token的短,access_token还可以使用refresh_token刷新access_token,即用户登录授权完成后不久,用户登录态就失效了,但是三方服务还可以定时刷新access_token,在后端帮处理用户授权的数据(即调用受保护资源服务)。

OIDC的特性和好处:

  1. OIDC使得身份认证可以作为一个服务存在;
  2. OIDC可以很方便的实现SSO(跨顶级域);
  3. OIDC兼容OAuth2,可以使用Access Token控制受保护的API资源;
  4. OIDC可以兼容众多的IDP作为OIDC的OP来使用;
  5. OIDC的一些敏感接口均强制要求TLS,除此之外,得益于JWT,JWS,JWE家族的安全机制,使得一些敏感信息可以进行数字签名、加密和验证,进一步确保整个认证过程中的安全保障;

it_lihongmin
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
基于Spring Security的OAuth2.1和OIDC1.0认证服务器设计源码
06-02
本源码提供了一个基于Spring Security框架的OAuth2.1和OIDC1.0认证服务器实现。项目包含102个文件,主要使用Java(51个文件)、JSP(12个文件)、XML(10个文件)、HTML(9个文件)等编程语言和标记语言开发。此外,...
OAuth2.0OIDC1.0
gnwu1111的专栏
08-08 349
试想微信的账号密码暴露给接入的客户端Client(比如新开发的App接入微信登录),那么Client端就可以拿着用户的微信账号为所欲为,这显然是最不安全的,微信也绝不可能同意,即便是我们自建的认证中心,接入的Client端也都是我们自己公司的应用,接入的Client都能拿到用户账号密码,显然也增加了用户账号密码泄露的风险,显然也是不可取的,关于用户的账密码,还是越少人(越少Client端应用)知道越好。应用的使用离不开用户,所以用户认证与授权通常亦成为了应用架构中不可或缺的一部分。
【授权与认证】OAuth 2.0 和 OIDC 的异同点
叮当猫的喵i
01-30 2838
OIDC 协议定义的名词和 OAuth 2.0 协议定义的稍微有些出入:OpenID Provider ,简称 OP :相当于 OAuth 2.0 中的授权服务器,除了负责颁发 Access Token ,还会颁发 ID Token。例如 IDaaS 就是一个 OP。Relying Party ,简称 RP :代指 OAuth 2.0 中的客户端。End User ,简称 EU :即用户。最后, OIDC 的授权流程与 OAuth 2.0 是一样的,
授权协议OAuth 2.0之通过OIDC实现SSO
wang0907的博客
04-24 940
OIDC的全称是openid connect,和OAuth2.0一样,也是属于协议和规范的范畴。OAuth2.0是一种授权协议,即规定了的内容。而OIDCOAuth2.0的超集,不仅规定了,还定义了的内容,即OIDC不仅是授权协议,也是一种认证协议。实际上,OIDC也正是在OAuth2.0的基础上做了扩展,从而支持了身份认证的功能,如下图:1:受保护资源的拥有者一般是我们自己2:受保护的资源一般就是HTTP的接口形式的API,当然也可以是其他形式3:三方软件一般是希望拿到受保护资源的角色。
【笔记】浅谈OAuth2 accessToken和OIDC idToken的理解和使用场景
热门推荐
LeoSong121的博客
04-02 1万+
前言 OAuth2 官网:https://oauth.net/2/ OIDC:Open ID Connect 官网:http://openid.net/connect/ What is OpenID Connect? OpenID Connect 1.0 is a simple identity layer on top of the OAuth 2.0 protocol. It allows Clients to verify the identity of the End-User bas
09 | 实战:利用OAuth 2.0实现一个OpenID Connect用户身份认证协议
qq_37756660的博客
12-01 1188
在一些较大的、已经具备身份认证服务的平台上,你可能并没有发现 OIDC 的描述,但大可不必纠结。有时候,我们可能会困惑于,到底是先有 OIDC 这样的标准,还是先有类似微信登录这样的身份认证实现方式呢?其实,要理解这层先后关系,我们可以拿设计模式来举例。当你想设计一个较为松耦合、可扩展的系统时,即使没有接触过设计模式,通过不断地尝试修改后,也会得出一个逐渐符合了设计模式那样“味道”的代码架构思路。理解 OIDC 解决身份认证问题的思路,也是同样的道理。
OAuth2.0 & OIDC1.0及落地方案
罗小爬的技术宝书
05-20 2654
本文介绍了OAuth2.0 & OIDC1.0的相关术语、授权模式及交互流程等,并站在不同角度论述了OAuth2.0 & OIDC1.0作为建设企业用户认证中心的落地思路,给出了不同客户端类型关于授权模式的选型建议,最后结合Spring Security OAuth2生态给了典型架构(前后端分离+微服务+应用网关)的集成示例。
OAuth 2.0 Implicit Flow Detector-crx插件
03-25
许多网站使用OAuth和OIDC协议(https://developer.okta.com/blog/2017/06/21/what-the-heck-is-oauth)来管理Web身份验证和授权。 尽管这些标准是Web开发人员的最佳实践,但许多站点仍依赖现已弃用的隐式流程...
oidc-debugger:OAuth 2.0和OpenID Connect调试工具
05-11
OAuth 2.0和OpenID Connect调试器 :globe_showing_Americas: 住在这里: : 或这是什么? 阅读博客文章: 要使OAuth或OpenID Connect流正常工作可能会很棘手。 您需要一堆正确的参数,而且捕获或解析错误并不总是那么...
SAML, WS-Federation and OAuth 2.0 tracer-crx插件
03-25
跟踪和解码所有SAML,WS联合身份验证和OAuth 2.0(OIDC)消息 rcFederation跟踪程序跟踪SAML,WS-Federation和OAuth(OIDC)消息。 在浏览时,跟踪程序将收集所有联盟消息,以供您调查。 消息按出现的顺序显示在概览...
02. 全网最权威!!!一文带你深入浅出理解:OAuth 2 和 OIDC 究竟是什么各自又究竟在解决什么问题
weixin_45946850的博客
05-07 383
这一小节总览全局向你介绍了OAuth 2和OIDC技术,我将在后面的小节与你讨论关于OAuth 2和OIDC的绝大多数细节。你现在在第零关的最后一个部分,下一节开始我们将正式开始探索OAuth的世界线。万丈高楼平地起,请保持耐心。再一次,这是一门从零开始的OAuth 2和OIDC的实战课,如果你已经对某一部分的内容较为熟悉,你可以跳过这一关卡直接探索下一关卡或你感兴趣的关卡!
OIDC认证授权协议
分享技术,共同进步!
10-18 8193
一、OIDC简介 OIDC是OpenID Connect的简称,OIDC=(Identity, Authentication) + OAuth 2.0。它在OAuth2上构建了一个身份层,是一个基于OAuth2协议的身份认证标准协议。OAuth2是一个授权协议,它无法提供完善的身份认证功能,OIDC使用OAuth2的授权服务器来为第三方客户端提供用户的身份认证,并把对应的身份认证信息传递给客户端,......
OIDC & OAuth2.0 协议及其授权模式详解|认证协议最佳实践系列【1】
Authing的博客
02-22 922
OIDC & OAuth2.0 协议最佳实践系列。
Oauth2_授权登录之access_token与open_id关联
ThefFirsttThelLast的博客
08-07 959
场景描述:我公司开发的App需要集成甲方的第三方应用(H5),甲方要求实现授权登录,我方App账户需保证登录第三方应用,但又不想泄露过多信息给第三方。在这套流程体系中,本人对微信、支付宝、QQ的access_token与open_id如何关联进行猜想,并制定了自己的方案 方案说明:本方案主要目的是解决code、access_token与用户关联问题,因此对获取access_token\refre...
OAuth2.0 授权 & OpenID Connect 身份认证
weixin_43294560的博客
06-06 1419
【代码】OAuth2.0 授权 & OpenID Connect 身份认证
OIDC & OAuth2.0 认证协议最佳实践系列 02 - 授权码模式(Authorization Code)接入 Authing
Authing的博客
03-03 1336
让你的系统快速具备接入用户认证的标准体系。
开发者谈 | OAuth 2.0 和 OIDC 协议的关系?(内含必看案例)
Authing的博客
08-17 1657
撰稿人:Authing 开发者 寻寻觅觅的 Gopher还记得那个吃披萨的例子吗?《5000 字干货 | IDaaS 身份即服务背后的基石》一文中阐述了 SaaS,PaaS,IaaS 三者的区别。IDaaS 实际上就是一个基于 SaaS 模式的 IAM 解决方案,也就是云上的身份和访问管理服务,完全由受信任的第三方云服务厂商托管和管理。它允许企业使用单点登录、身份验证和访问控制来提供对任意接入的已实现标准协议应用的安全访问。而 IDaaS 背后,有两个支撑着其和和协议。...
使用Hybrid Flow并添加API访问控制
weixin_71792169的博客
11-15 180
在implicit流程中,所有的令牌都通过浏览器传输,这对于身份令牌来说是完全不错的。访问令牌比身份令牌更加敏感,如果不需要,我们不想让它们暴露于“外部”世界。OpenID Connect包含一个名为“混合流”的流程,它可以让我们两全其美,身份令牌通过浏览器通道传输,因此客户端可以在做更多的工作之前验证它。首先,我们希望允许客户端使用混合流,另外我们还希望客户端允许服务器到服务器API调用,这些调用不在用户的上下文中(这与我们的客户端证书quickstart非常相似)。这将用于反向检索通道上的访问令牌。
OIDCOAuth2.0区别
最新发布
05-29
OIDC(OpenID Connect)和OAuth2.0都是互联网上的身份验证和授权框架,它们有一些相似之处,但也有不同之处。 OAuth 2.0是一个授权框架,用于允许用户授权第三方应用程序访问他们的受保护资源,例如用户数据。它...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值