【笔记】浅谈OAuth2 accessToken和OIDC idToken的理解和使用场景

最新推荐文章于 2024-07-05 10:02:19 发布
最新推荐文章于 2024-07-05 10:02:19 发布
阅读量1.3w 收藏 23
点赞数 15
分类专栏: Spring Cloud 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26878363/article/details/115394602
版权

前言

OAuth2

官网:https://oauth.net/2/

OIDC:Open ID Connect

官网:http://openid.net/connect/

What is OpenID Connect?

OpenID Connect 1.0 is a simple identity layer on top of the OAuth 2.0 protocol. It allows Clients to verify the identity of the End-User based on the authentication performed by an Authorization Server, as well as to obtain basic profile information about the End-User in an interoperable and REST-like manner.

OpenID Connect allows clients of all types, including Web-based, mobile, and JavaScript clients, to request and receive information about authenticated sessions and end-users. The specification suite is extensible, allowing participants to use optional features such as encryption of identity data, discovery of OpenID Providers, and session management, when it makes sense for them.

大致意思就是openid connect1.0是oauth2.0协议之上的一个简单的身份层;

为什么要使用idToken?

jwt的payload部分,一般包含7个默认字段信息(还不了解jwt的建议先在官网了解jwt的结构):

iss:发行人

exp:到期时间

sub:主题

aud:用户

nbf:在此之前不可用

iat:发布时间

jti:JWT ID用于标识该JWT

除以上默认字段外,我们还可以自定义私有字段,如下例:

大家都知道oauth2协议,会签发jwt形式的access token,用于接口请求的凭证;

笔者之前在做oauth2集成的时候一直在想,已经有了jwt签名的access token,为什么还需要idToken呢?

我刚开始有这样的疑问,有三个原因:

1.jwt的payload部分包含了丰富的信息,且还可以自定义私有字段,在自定义私有字段时候,将username等用户信息参数签发进来,不就满足了用户身份信息认证?

2.jwt有签名防篡改的能力,将username等用户信息签发到payload不会有篡改风险;

3.已经有access token的情况下,idToken显得多余;

 

后来在集成微软的azure oauth2登录的时候,终于Get到了idToken的优势,那么为什么要用idToken呢?

在我看来有以下原因:

1.在access token添加用户身份信息,可能导致用户信息泄露;

因为每次接口请求都携带access token,其payload部分的用户信息是可解析的,相当于是明文的;

2.access token目的是用于接口访问的凭证,如果同时包含用户信息的话,功能就不分离了;

3.使用idToken替换userinfo endpoint获取用户信息;

就像微软官方doc也提到:

一般oauth2协议,都提供userinfo endpoint获取用户信息,例微软:https://graph.microsoft.com/oidc/userinfo,使用access token调用此接口获取得到用户信息;idToken可节省调用userinfo API接口的额外消耗;

4.某些场景,如只需要用户登录认证并获取用户信息,而不必调用Resource Server的其他API;那么这种场景只需要返回idToken,accessToken将不必返回;

例如微软提到的sign-in request

Send the sign-in request

综上可知,idToken的优势就体现到了。

需要补充说明一点的是,idToken只用于用户身份信息认证,并不能用户接口调用的凭证,设计的系统的时候一定要区分开;

 

另外网上一些关于OIDC的解释,我觉得是有歧义的:

OIDC是基于OAuth2的,OAuth2只解决了授权的问题,没有解决认证问题,而OpenID是个认证协议,所以二者结合就是OIDC。

我认为:OAuth2应该是同时解决了认证和授权的问题;因为OAuth2登录,用户在第三方平台登录的时候,不管是输入凭证的方式,还是选择已登录account的方式,这个步骤就是认证的过程

然后用户也一并授权了能访问用户的信息,如头像,昵称等,并签发了access token,这个步骤是授权;

OIDC= OAuth2 + OpenID

我认为:OIDC并不一定OAuth2 + OpenID,如果是access token和idToken一并签发,这种场景是可以这么理解;但是像微软提到的sign-in request,这类场景仅单纯返回idToken,就不能这么认为了;

OIDC在OAuth2的access_token的基础上增加了身份认证信息, 通过公钥私钥配合校验获取身份等其他信息—– 即idToken

 

 

LeoSong121
关注
  • 15
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 13
    评论
专栏目录
三重守护:Spring Boot如何借助OAuth2、JWT与OIDC,打造API安全铁三角?
java专栏
06-22 279
Spring Boot与OAuth2、JWT、OIDC的结合,如同春日里的一段安防传奇,构建出既安全又高效的API王国。这不仅保护了数据的边界,还确保了用户身份的透明与合法,让每一次API调用都像春日里的微风,清新又安心。现在,你已掌握了这三项守护神兽的魔法,准备在你的API王国中编织出怎样的安全篇章呢?
Oauth2协议中如何对accessToken进行校验
飘渺Jam的博客
07-04 3834
大家好,我是飘渺。今天我们来聊聊oauth2.0的accesstoken校验逻辑。概述本文来自球友Never Sett* 的提问看完这个问题,我感觉读者对于accesstoken的校验逻辑不太清楚,所以特意写了这篇文章解释一下。首先我们要知道Oauth2是一个授权协议,客户端访问某个被保护的资源之前,需要先通过认证服务器获取accesstoken,而后通过在请求头上带上a......
使用Java实现OAuth 2.0认证授权
最新发布
技术研究中心
07-05 1302
本文介绍了如何使用Java实现OAuth 2.0认证授权,包括配置授权服务器、资源服务器和客户端,并展示了如何获取和使用访问令牌。希望通过本文的讲解,大家能够掌握OAuth 2.0的基本概念和实现方法,应用到实际项目中,提升应用的安全性和用户体验。OAuth 2.0是一种授权框架,允许第三方应用在资源拥有者授权的前提下访问资源。资源服务器负责存储和保护资源,只有持有有效令牌的请求才可以访问。客户端获取到访问令牌后,可以使用该令牌访问资源服务器上的受保护资源。客户端需要使用授权码向授权服务器换取访问令牌。
Access Token vs Id Token
里查叔叔
09-18 2789
Access Token vs Id TokenAccess TokenId Token 与身份相关的 Token 有两种:Access TokenId TokenAccess Token Access Token 的格式可以是 JWT (opens new window)也可以是一个随机字符串。应当携带 Access Token 访问受保护的 API 接口,API 接口应该检验 Access Token 中的 scope 权限项目决定是否返回资源。例如,有一个应用使用了谷歌登录,然后同步用户的日
JWT TokenID TokenAccess Token、Refresh Token
乌龟的专栏
02-22 7529
JWT TokenID TokenAccess Token、Refresh Token
oauth2使用授权码模式(authorization code)获取access_token
热门推荐
吴国凯的博客
05-05 3万+
oauth2获取access_token的几种方式: 简化模式(implicit):在redirect_url中传递access_token,oauth客户端运行在浏览器中。 密码模式(password):将用户名和密码传过去,直接获取access_token。 客户端模式(client credentials):用户向客户端注册,然后客户端以自己的名义向“服务端”获取资源。 授权码模式(aut...
Oauth2 accessToken访问令牌续期 不生成新accessToken
xuexishaguo的博客
01-16 2286
//accessToken访问令牌 续期 用户每进行一次业务操作,访问令牌过期时间往后延续20分钟 //accessToken从Authorization请求头中获取 OAuth2AccessToken oAuth2AccessToken = tokenServices.readAccessToken(accessToken); //根据oAuth2AccessToken 从redis中 ...
django-oidc-provider:Djangonauts的OpenID Connect和OAuth2提供程序实现
02-04
Django OpenID Connect提供程序 ...django-oidc-provider可以帮助您直接提供将OpenID Connect(和OAuth2)功能添加到Django项目所需的所有端点,数据和逻辑。 支持Python 3和2。也是django的最新版本。
基于Spring Security的OAuth2.1和OIDC1.0认证服务器设计源码
06-02
本源码提供了一个基于Spring Security框架的OAuth2.1和OIDC1.0认证服务器实现。项目包含102个文件,主要使用Java(51个文件)、JSP(12个文件)、XML(10个文件)、HTML(9个文件)等编程语言和标记语言开发。此外,...
OAuth2获取token报错invalid stream header
12-14
记一次异常解决:OAuth2获取token报错invalid stream header 在整合springcloud gateway、eureka、security、OAuth2的时候,采用授权码模式,用授权码去访问/oauth/token获取token时,遇到invalid stream header异常...
demo-oauth2-login:使用Spring Boot 2进行演示OAuth2OIDC登录Spring Security 5
05-18
**OAuth2 和 OpenID Connect (OIDC) 概述** OAuth2 是一个授权框架,它允许第三方应用在用户的许可下访问其受保护的资源,而无需获取用户的用户名和密码。OAuth2 主要用于授权,确保用户的数据安全。而 OpenID ...
OAuth2扩展access_token(二)
weixin_54889617的博客
12-10 1921
OAuth2中扩展用户信息
OAuth2简介生成accessToken(一)
weixin_54889617的博客
12-10 5818
SpringSecurityOAuth2的基本Api简介和生成Access_Token
【PHP】阿里巴巴开放平台Oauth2.0协议获取access_token
不纯正的逼格的专栏
01-16 132
如果对Oauth2不太熟,有时间的话可以去学习一下之前写的一篇。二、拿Code 换access_token
什么是 ID Token
里查叔叔
09-17 4247
什么是 ID TokenID Token 完整字段含义二级目录三级目录 OIDC (OpenID Connect) 协议 (opens new window)对 OAuth 2.0 协议 (opens new window)最主要的一个扩展就是 ID Token 数据结构。ID Token 相当于用户的身份凭证,开发者的前端访问后端接口时可以携带 ID Token,开发者服务器可以校验用户的 ID Token 以确定用户身份,验证通过后返回相关资源。 ID Token 本质上是一个 JWT Token,包含
springsecurity-oauth2令牌 access_token验证
clonetx的博客
06-21 4240
springsecurity oauth2 令牌access_token验证源码分析
OAuth2四种授权登录之密码模式获取TOKEN
GinChou的萌新博客
09-03 1万+
学习地址: https://www.majiaxueyuan.com/uc/play/65 目录 1.简介 2.Oauth2角色划分 3.OAuth2为我们提供了四种授权方式 4.密码获取TOKEN方式 5.测试 1.简介 OAuth(开放授权)是一个开放标准,允许用户授权第三方网站访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方网站或分享他们数据的所...
OAuth2中 access_token,refresh_token的各类配置与使用场景FAQ
weixin_45738731的博客
05-17 3515
过去几年的OAuth2经历与使用,总结一下,记录有关 access_token, refresh_token的各类配置与场景适应,到此以自问自答的形式把这些琐碎的点总结下来。说明:以下问答中的截图或表等信息以中配置为参考。
oauth2和oidc
08-29
OAuth2是一个用于授权的开放标准协议,它允许用户授权第三方应用访问他们在某个网站上存储的私密资源,而无需提供他们的用户名和密码。OAuth2提供了四种授权模式,分别是授权码模式、隐式授权模式、密码模式和客户端凭证模式。 OpenID Connect(OIDC)是基于OAuth2的认证协议,它添加了身份验证的能力。OIDC允许用户使用一个认证服务器进行认证,并且通过认证服务器颁发的令牌来访问受保护的资源。OIDC通过在OAuth2流程中引入身份验证,为用户提供了更安全和更简化的身份验证体验。 在Angular中,可以使用angular-oauth2-oidc库来支持OAuth2和OpenID Connect。这个库提供了一些方便的功能,比如验证令牌签名和散列以及与后端进行测试的资源来源和示例。它还准备好了针对即将到来的OAuth2.1的支持。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [【授权与认证】OAuth 2.0 和 OIDC 的异同点](https://blog.csdn.net/qq_24433609/article/details/128806678)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* [angular-oauth2-oidc:在Angular中支持OAuth 2和OpenId Connect(OIDC)](https://download.csdn.net/download/weixin_42144707/18219284)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 13
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值