应用开发 | OAuth2.0及OIDC协议应用实践(一)

已于 2024-12-08 22:02:59 修改
阅读量1.2k 收藏 20
点赞数 20
文章标签: 安全 java 微服务
于 2024-12-02 00:20:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71553462/article/details/143465586
版权

文章目录

一、什么是OAuth2.0协议

OAuth 2.0 是一种开放标准,用于访问委托(即授权)。它允许第三方应用以安全的方式获取对HTTP服务的有限访问权限,而无需将用户名和密码提供给第三方。OAuth 2.0是OAuth协议的继任者,被设计为简化客户端开发人员的工作,并提供特定于用例的功能,如桌面应用程序、移动电话以及基于浏览器的应用程序。详细说明可查看这个IETF OAuth Working Group.

OAuth 2.0的核心概念包括:

  • 资源所有者Resource Owner:能够授予对其资源访问权限的实体,通常是最终用户。
  • 资源服务器Resouce Server:持有受保护资源的服务器,能够接收并响应使用访问令牌进行的请求。
  • 客户端Client:代表资源所有者及其自身请求访问受保护资源的应用程序。
  • 授权服务器Authorization Server:负责验证资源所有者的身份,并在验证后颁发访问令牌给客户端。
  • 访问令牌Access Token:表示对特定范围和持续时间内的资源服务器上的资源的访问权限的字符串。

OAuth2.0的授权流程如下所示:
在这里插入图片描述
在这里插入图片描述

二、什么又是OIDC协议

OpenID Connect(OIDC)是OAuth 2.0协议之上的一个简单的身份层。它使客户端能够根据授权服务器执行的身份验证来验证最终用户的身份,并以可互操作和类似REST的方式获取有关最终用户的基本配置文件信息。具体协议标准可以点击官网标准说明进行查看。
有些人会问有了OAuth2.0为啥还要OpenID Connect(OIDC)呢,其实OAuth2.0解决的本质问题是授权(Authorization),即允许一个应用访问另一个应用的数据,但它并不直接提供身份验证(Authentication)的功能。因此,我们可以基于OpenID Connect(OIDC)来实现单点登录(SSO)。
在这里插入图片描述

三、如何设计应用端的认证鉴权(以SPA为例)

许多新的应用包含一个主要以 JavaScript 编写的单页应用 (SPA) 前端,通常使用 Angular、React 或 Vue 之类的框架。 开发 SPA 时,应使用带有 PKCE 的授权代码流。 此流比不再推荐使用的隐式流更安全。 我们可以按照OIDC协议进行如下认证
在这里插入图片描述
其中PKCE 是 Proof Key for Code Exchange 的缩写,PKCE 是一种用于增强授权码模式安全性的方法,它可以防止恶意应用程序通过截获授权码和重定向 URI 来获得访问令牌。PKCE 通过将随机字符串(code_verifier)和其 SHA-256 哈希值(code_challenge)与授权请求一起发送,确保访问令牌只能由具有相应 code_verifier 的应用程序使用,保障用户的安全性。
【OAuth 2.0 协议扩展】PKCE 扩展协议:为了解决公开客户端的授权安全问题
public 客户端,其本身没有能力保存密钥信息(恶意攻击者可以通过反编译等手段查看到客户端的密钥 client_secret, 也就可以通过授权码 code 换取 access_token, 到这一步,恶意应用就可以拿着 token 请求资源服务器了)
PKCE 协议本身是对 OAuth 2.0 的扩展, 它和之前的授权码流程大体上是一致的, 区别在于在向授权服务器的 authorize endpoint 请求时,需要额外的 code_challenge 和 code_challenge_method 参数;向 token endpoint 请求时, 需要额外的 code_verifier 参数。最后授权服务器会对这三个参数进行对比验证, 通过后颁发令牌。
最终,考虑到刷新Token的存放问题(不建议Public客户端存放refresh_token),我们在SPA端增加了BFF层,使用BFF层来代理掉相关认证鉴权,如下图所示:
在这里插入图片描述
SPA客户端存储access_token即可,其他的clientId,clientSecret及refresh_token等全部存在BFF上。

四、代码实现

1. 实现一个基于OIDC协议的IAM(Spring Authorization Server)

maven依赖:

		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-oauth2-authorization-server</artifactId>
		</dependency>

配置类:

@Configuration
@EnableWebSecurity
public class SecurityConfig {
   

    @Bean
    @Order(1)
    public SecurityFilterChain authorizationServerSecurityFilterChain(HttpSecurity http)
            throws Exception {
   
         // Apply default security configuration for OAuth2 Authorization Server
        OAuth2AuthorizationServerConfiguration.applyDefaultSecurity(http);
        // Customize OAuth2 Authorization Server configuration
        http.getConfigurer(OAuth2AuthorizationServerConfigurer.class)
            .oidc(Customizer.withDefaults()); // Enable OpenID Connect 10
        // Handle unauthenticated requests
        http.exceptionHandling((exceptions) -> exceptions
            .defaultAuthenticationEntryPointFor(
                new LoginUrlAuthenticationEntryPoint("/login"),
                new MediaTypeRequestMatcher(MediaType.TEXT_HTML)
            )
        );
        // Protect resources with OAuth2 JWT
        http.oauth2ResourceServer((resourceServer) -> resourceServer
            .jwt(Customizer.withDefaults())
        );
        // Enable CORS
        http.cors(Customizer.withDefaults());
        return http.build();
    }
    @Bean
    @Order(2)
    public SecurityFilterChain defaultSecurityFilterChain(HttpSecurity http)
            throws Exception {
   
        http
                .authorizeHttpRequests((authorize) -> authorize
                         .requestMatchers("/", "/login","/favicon.ico").permitAll()
                        .anyRequest().authenticated()
                )
                // Form login handles the redirect to the login page from the
                // authorization server filter chain
                .formLogin(Customizer.withDefaults());
        return http.build();
    }
    @Bean
    public UserDetailsService userDetailsService() {
   
        UserDetails test1 = User.
最低0.47元/天 解锁文章
小迅先生
关注
OIDC & OAuth2.0 协议及其授权模式详解|认证协议最佳实践系列【1】
Authing的博客
02-22 1160
OIDC & OAuth2.0 协议最佳实践系列。
OIDC协议
飞鸟慕鱼的博客
09-30 3199
1.ID Token是jwt,包含组关于身份认证会话的声明(claim) 2.access token在oidc中也能使用,伴随着id token起被发送到客户端,但是这不是必要的,因为id token已经包含了用户信息,access token只是为了和OAuth兼容。 3.oidc新增了用户端点,可以获取用户的个人信息 4.oidc规定客户端可以简单的发现授权服务器的所有端点 主要...
别再搞错!OAuth 2.0只是授权协议OIDC才是认证授权协议
程序猿DD
07-21 1266
文我们对Keycloak保护Spring Boot应用进行了实操。让大家见识到了Keycloak的强大。为了掌握Keycloak就必须对OpenID Connect(OIDC协议进行...
IAM的主流身份验证方法之OIDC协议
Innocence_0的博客
08-09 885
OpenID Connect(简称OIDC)是安全认证机制,第三方应用连接到身份认证服务器(IdentifyService)获取用户信息,并把这些信息以安全可靠的方式返回给第三方应用OAuth2.0通过Access Token作为向第三方应用授权访问自身资源的凭证。OpenIDConnect对OAuth2.0进行协议进行了扩展,通过扩展的ID Token字段,提供用户基础身份信息,ID Token使用JWT(JSON Web。
基于Spring Security 6的OAuth2 系列之十八 - 高级特性--OIDC1.0协议
代码还是得自己扣
02-18 1162
本章简介了OIDC1.0协议,并使用Spring Security演示了OIDC1.0协议的实现。下章我们将去窥探其原理。
基于Spring Security 6的OAuth2 系列之十九 - 高级特性--OIDC1.0协议之二
最新发布
代码还是得自己扣
02-18 953
我们发现在访问/userinfo接口时,只返回个用户名,如果我们想返回更多的信息,应该如何操作呢?现在我们知道其通过id_token里面的信息取获取的。第种方法:自定义id_token,将信息放入id_token中,我们需要自定义OAuth2TokenGenerator。或许你存些无关紧要的信息还是可以接受的,但是如果信息中包括个人隐私以及系统权限等信息,就会使得id_token暴露太多信息。如果想实现这个,参考官方的案例。
OAuth2.0 & OIDC1.0及落地方案
罗小爬的技术宝书
05-20 3459
本文介绍了OAuth2.0 & OIDC1.0的相关术语、授权模式及交互流程等,并站在不同角度论述了OAuth2.0 & OIDC1.0作为建设企业用户认证中心的落地思路,给出了不同客户端类型关于授权模式的选型建议,最后结合Spring Security OAuth2生态给了典型架构(前后端分离+微服务+应用网关)的集成示例。
【授权与认证】OAuth 2.0OIDC 的异同点
叮当猫的喵i
01-30 3715
OIDC 协议定义的名词和 OAuth 2.0 协议定义的稍微有些出入:OpenID Provider ,简称 OP :相当于 OAuth 2.0 中的授权服务器,除了负责颁发 Access Token ,还会颁发 ID Token。例如 IDaaS 就是个 OP。Relying Party ,简称 RP :代指 OAuth 2.0 中的客户端。End User ,简称 EU :即用户。最后, OIDC 的授权流程与 OAuth 2.0样的,
为什么有了OAuth2.0还要OIDC
绅士jiejie的博客
03-05 666
为什么有了OAuth2.0还要OIDC
OAuth2.0OIDC1.0
gnwu1111的专栏
08-08 601
试想微信的账号密码暴露给接入的客户端Client(比如新开发的App接入微信登录),那么Client端就可以拿着用户的微信账号为所欲为,这显然是最不安全的,微信也绝不可能同意,即便是我们自建的认证中心,接入的Client端也都是我们自己公司的应用,接入的Client都能拿到用户账号密码,显然也增加了用户账号密码泄露的风险,显然也是不可取的,关于用户的账密码,还是越少人(越少Client端应用)知道越好。应用的使用离不开用户,所以用户认证与授权通常亦成为了应用架构中不可或缺的部分。
Objective-C iOS快速实现OAuth 2.0OIDC示例库介绍
objc-openidconnect-library是个为Objective-C和iOS平台编写的OpenID Connect库,用于简化OAuth 2.0和OpenID Connect (OIDC)认证流程。OpenID Connect建立在OAuth 2.0协议之上,提供了安全的用户身份验证方法...
Angular OAuth2+OIDC与AuthGuard集成实践
angular-oauth2-oidc个专门针对Angular开发的开源库,它实现了OAuth 2.0和OpenID Connect协议,使开发者能够轻松地在Angular应用中添加认证和授权功能。 2. 使用AuthGuard保护路由 AuthGuard是Angular中的...
OAuth 2.0 和 OpenID Connect 的基本原理和区别(干货)
热门推荐
qq_24550639的博客
12-13 1万+
基本原理 首先要明确OAuth OpenID Connect学习起来比较难,对谁都会比较难,所以心态要放好,因为有很多专业属于、缩写等等,你要是之前不知道,就基本上很难看懂。而且OAuth和OpenID Connect不像HTTP这样的协议,有固定的格式,OAuth和OpenID Connect其实没有很固定的格式,没有人告诉你,定要怎么做。 所以本文都是大白话,让大家更容易看懂。 为什么要用OAuthOIDC来做授权和身份验证? 原来,是怎么进行身份验证的? 简单的表格登录验证模式,密码哈希存在数
Spring OAuth2.0 OIDC详解
onePlus5T的博客
08-22 2173
OAuth2.0 OIDC详解
OIDCOAuth2.0学习
一个写了10年bug的程序员日常笔记。
05-11 1169
OpenID Connect (OIDC)OAuth 2.0 是两种不同的协议,它们通常起使用,但服务于不同的目的。下面是它们的。
[OIDC&&Oauth2 ] 理解Oauth2授权框架
zh_coder
01-14 7752
.  什么是Oauth2授权框架?   Oauth2种通用的开放式的面向个人(即用户)网络授权方案,它的前身是Oauth1。但是由于Oauth1设计复杂,易用性差,所以Oauth2Oauth1并不兼容。 二. Oauth2.0应用场景        我们拿csdn登录来举个栗子,来看csdn的登录页面下方:                  其
OAuth2/OIDC
sun007700的专栏
05-23 283
GitHub - zorn-v/nextcloud-social-login Running behind Identity-aware proxy? - ℹ️ Support - Nextcloud community I’m looking to configure Nextcloud behindPomerium3, an identity aware proxy. Through the web interface, it’s all good: I authenticate using..
五分钟入门OAuth2.0OIDC
乌龟的专栏
03-13 545
五分钟入门OAuth2.0OIDC
OAuth2.0协议()、基于OAuth2.0OIDC认证协议
it_lihongmin的博客
01-12 2173
OIDC(OpenID Connect)协议建立在OAuth2.0协议的基础上,这里需要分清OAuth2.0个授权协议,而OIDC个认证协议,特别容易搞混。只是OAuth授权框架中包含了部分需要调用认证的信息,而IODC协议利用了OAuth2.0的认证流程(或者利用了去管道、通道)并增加了输出了id_token和OpenId(认证结果和标识)。可以理解: IODC【OpenID Connect】 = OAuth2.0【授权协议】+ 身份认证; IODC定义了三个角色: EU(End...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值