OIDC协议 — 理解OIDC身份认证授权

最新推荐文章于 2024-04-05 06:24:17 发布
最新推荐文章于 2024-04-05 06:24:17 发布
阅读量764 收藏
点赞数
分类专栏: 网络 文章标签: java 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38658567/article/details/132784222
版权

1、OIDC协议与OAuth2协议的区别

1.1 OAuth2 协议

我们在日常开发中,OAuth2协议可能接触比较多,例如用户权限系统集成Spring Security OAuth2进行身份授权认证;那什么是OAuth2协议?

OAuth 即 Open Authorization ,用于开放授权处理。OAuth 2.0是一个授权标准协议,可以使第三方应用获得对资源服务的有限访问。

根据 OAuth 2.0 协议规范,定义了四个角色:

  • 资源所有者(Resource Owner):能够授予对受保护资源访问权限的实体。例如应用的用户是资源的所有者,可以授权其他人访问他的资源。当资源所有者是一个人时,它被称为最终用户。 —— 就相当于 admin,控制授予 Access Token 何种权限

  • 资源服务器(Resource Server):存储受保护资源的服务器,能够接受并使用访问令牌来响应受保护的资源请求。就是资源服务器接受 Access Token,然后验证它拥有的权限,最后返回对应的资源。这个资源服务器一般是应用本身。—— 验证 Access Token 和相应的权限,并返回资源

  • 授权服务器(Authorisation Server):服务器向客户端(即应用)颁发访问令牌来验证资源所有者并获得授权。即负责颁发 Access Token 的服务器,例如 IDaaS 就是一个授权服务器。—— 向客户端发放 Access Token

  • 客户端(Client):需要获取访问令牌以访问资源服务器的应用。经过授权后,授权服务器为客户端颁发 Access Token。后续客户端可以携带这个 Access Token 到资源服务器那访问用户的资源。—— 需要 Access Token 来获取资源

在 OAuth 2.0 中一个应用可能既是 Resource Server,也是 Client,具体是什么角色,取决于应用工作的场景。且 OAuth 2.0 是关于授权而不是身份验证的。使用OAuth 2.0,客户端不知道终端用户是谁。它只需获取一个访问令牌,即可代表用户访问资源。

1.2 OIDC是什么?

OpenID Connect,也就是OIDC,它是建立在 OAuth 2.0协议之上的一个简单的身份层,它允许计算客户端根据授权服务器执行的认证,以 JSON 作为数据格式,验证终端用户的身份。它是 OpenID 的第三代规范,前面分别有 OpenID 和 OpenID 2.0。它在OAuth 2.0 的基础上增加了 ID Token来解决第三方客户端标识用户身份认证的问题。

因为OIDC是在OAuth2之上的协议,在 OAuth 2.0 之上实现了更多的标准,例如定义了一系列的 EndPoint 。还有一些规范诸如 Session Management,Front-Channel Logout,Back-Channel Logout 等。

OIDC 之所以有认证的功能,是因为在 OAuth 2.0 颁发 Access Token 的基础上,多颁发了一个 ID Token(用户的身份凭证), Access Token 是一个随机字符串,不同的是,ID Token 是一个 JWT Token 。

ID Token 自身包含了一些用户的基本信息,而且由于 JWT 的防篡改性,让客户端不需要再向授权服务器进行身份验证,就能直接用 ID Token 来进行身份验证。即使 ID Token 包含的用户信息不够,也可以调用 OIDC 定义的 UserInfo EndPoint(用户信息接口)来获取更多的用户信息。

OIDC 协议定义的名词和 OAuth 2.0 协议定义的稍微有些出入:

  • OpenID Provider ,简称 OP :相当于 OAuth 2.0 中的授权服务器,除了负责颁发 Access Token ,还会颁发 ID Token 。例如 IDaaS 就是一个 OP 。

  • Relying Party ,简称 RP :代指 OAuth 2.0 中的客户端。

  • End User ,简称 EU :即用户。

在这里插入图片描述

从抽象的角度来看,OIDC的流程由以下5个步骤构成:

  1. RP发送一个认证请求给OP;
  2. OP对EU进行身份认证,然后提供授权;
  3. OP把ID Token和Access Token(需要的话)返回给RP;
  4. RP使用Access Token发送一个请求UserInfo EndPoint;
  5. UserInfo EndPoint返回EU的Claims。
    在这里插入图片描述

最后, OIDC 的授权流程与 OAuth 2.0 是一样的,主要区别在于 OIDC 授权流程中会额外返回 ID Token。

这里总结一下 OIDC 与 OAuth 2.0 的大致区别,如下图所示:
在这里插入图片描述

1.3 OIDC 协议族

OIDC本身是有多个规范构成,其中包含一个核心的规范,多个可选支持的规范来提供扩展支持,简单的来看一下:

  1. Core:必选。定义OIDC的核心功能,在OAuth 2.0之上构建身份认证,以及如何使用Claims来传递用户的信息。
  2. Discovery:可选。发现服务,使客户端可以动态的获取OIDC服务相关的元数据描述信息(比如支持那些规范,接口地址是什么等等)。
  3. Dynamic Registration :可选。动态注册服务,使客户端可以动态的注册到OIDC的OP。
  4. OAuth 2.0 Multiple Response Types :可选。针对OAuth2的扩展,提供几个新的response_type。
  5. OAuth 2.0 Form Post Response Mode:可选。针对OAuth2的扩展,OAuth2回传信息给客户端是通过URL的querystring和fragment这两种方式,这个扩展标准提供了一基于form表单的形式把数据post给客户端的机制。
  6. Session Management :可选。Session管理,用于规范OIDC服务如何管理Session信息。
  7. Front-Channel Logout:可选。基于前端的注销机制,使得RP可以不使用OP的iframe来退出。
  8. Back-Channel Logout:可选。基于后端的注销机制,定义了RP和OP直接如何通信来完成注销。

上图是官方给出的一个OIDC组成结构图,我们暂时只关注Core的部分,其他的部分了解是什么东西就可以了,OIDC也不是新技术,它主要是借鉴OpenId的身份标识,OAuth2的授权和JWT包装数据的方式,把这些技术融合在一起就是OIDC。

1.4 OIDC认证

OIDC基于OAuth2,所以OIDC的认证流程主要是由OAuth2的几种授权流程延伸而来的,有以下3种:

  • Authorization Code Flow:使用OAuth2的授权码来换取Id Token和Access Token。
  1. EU 访问 RP 的资源但是没有进行身份认证
  2. RP 将 EU redirect 到 OP 端,并带上一些参数,这里列举一些必选参数,还有许多可选参数可以看这里 client_id:唯一标识scope:请求权限范围,OIDC的请求必须包含值为“openid”的scope的参数response_type:要求 OP 的返回值,值为 code,token,id_token,none 中的一个或几个,在当前 flow 值为 coderedirect URL:认证完成后的跳转URLstate:当前登录认证操作的一个随机 query,用于防止 CSRF 或 XSRF 攻击
  3. 然后 OP 会验证 EU 的身份信息,通常会询问用户是否将自己的信息提供给 RP,确认后进行登录操作
  4. 登陆成功后 OP 会将 EU redirect 到刚刚 RP 提供的 URL,同时会在 URL 中带上一个 Authorization Code 和刚刚的 state 参数
  5. 之后 RP 拿到 code 和 state,先确认是不是相同的 state 保证这次通信是有效的,之后再通过 POST 请求从 OP 获取 token,里面包含 ID Token,Access Token,Refresh Token,Token Type,Expired In 等信息
  6. 之后 RP 会验证 ID Token 和验证 Access Token 确保它们没有问题
  7. 然后 RP 通过 Access token 通过 OP 提供的 UserInfo Endpoint 获取用户信息,拿到用户信息后与自己的用户信息进行比对
  8. 最后返回一个 APP Token 到 EU

  • Implicit Flow:使用OAuth2的Implicit流程获取Id Token和Access Token。
    Implicit Flow 是在 OP redirect EU 到 RP 的时候会带上 ID Token 和 Access Token(如果必要) 而不是 Authorization Code,同时在发送请求的时候也会有一些不同,需要带上一些别的参数

  • Hybrid Flow:混合Authorization Code Flow+Implici Flow。
    Hybrid Flow 可以理解为上面两个 flow 的结合,OP redirect EU 到 RP 的时候会带上 Authorization Code,同时根据发送请求时候 Response Type 参数的不同还会带上一些别的参数

2、总结

本篇博客介绍了OIDC的发现服务,OAuth2的扩展规范。OIDC其本身是一个完全开放的标准,而且兼容众多的已有的IDP(身份提供商),比如基于SAML的、基于WS-Federation的等等已有的身份认证系统,都可以作为OIDC的OP存在。总结一下OIDC有那些特性和好处吧:

  • OIDC使得身份认证可以作为一个服务存在。
  • OIDC可以很方便的实现SSO(跨顶级域)。
  • OIDC兼容OAuth2,可以使用Access Token控制受保护的API资源。
  • OIDC可以兼容众多的IDP作为OIDC的OP来使用。
  • OIDC的一些敏感接口均强制要求TLS,除此之外,得益于JWT,JWS,JWE家族的安全机制,使得一些敏感信息可以进行数字签名、加密和验证,进一步确保整个认证过程中的安全保障。
RachelHwang
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
react-oidc
03-13
@yarrgh/react-oidc 使用OpenId Connect管理身份验证状态的React组件 安装 npm i @yarrgh/react-oidc 用法示例 import { AuthProvider } from '@yarrgh/react-oidc' ; const baseUrl = ` ${ window . location . protocol } // ${ window . location . host } ` ; ReactDOM . render ( < React> < AuthProvider userManagerOptions = { { client_id : 'my_app' , authority : 'https://sso.example.com'
OIDC的介绍
weixin_65692248的博客
01-26 1048
OIDC协议的基本介绍,以及三种流程。
SSO的实现协议OIDC协议的实现流程
最新发布
IT技术领域深耕10年+,北京大厂闯荡5年+
04-05 758
用户是 QQ 账号的所有者。QQ 的授权服务器负责用户的身份认证授权。提供 SSO 的标准和协议有很多,其中一些著名的有:安全访问标记语言 (SAML)、开放授权 (OAuth)、开放 ID 连接 (OIDC)、Web 服务联合 (WS-Federation)、CAS(Central Authentication Service)、Kerberos等。SAML 是一种基于 XML 的标准,用于在 IdP 和服务提供商之间交换身份验证和授权数据,以验证用户的身份和权限,然后授予或拒绝他们对服务的访问权限。
OIDC协议
飞鸟慕鱼的博客
09-30 3040
1.ID Token是jwt,包含一组关于身份认证会话的声明(claim) 2.access token在oidc中也能使用,伴随着id token一起被发送到客户端,但是这不是必要的,因为id token已经包含了用户信息,access token只是为了和OAuth兼容。 3.oidc新增了用户端点,可以获取用户的个人信息 4.oidc规定客户端可以简单的发现授权服务器的所有端点 主要...
[认证授权] 4.OIDC(OpenId Connect)身份认证授权(核心部分)
weixin_34268753的博客
05-30 1746
1 什么是OIDC? 看一下官方的介绍(http://openid.net/connect/): OpenID Connect 1.0 is a simple identity layer on top of the OAuth 2.0 protocol. It allows Clients to verify the identity of the End-User based on t...
IAM的主流身份验证方法之OIDC协议
ZAWX_NETSTARSEC的博客
05-16 758
OpenID Connect(简称OIDC)是一种安全认证机制,第三方应用连接到身份认证服务器(Identify Service)获取用户信息,并把这些信息以安全可靠的方式返回给第三方应用。OAuth2.0通过Access Token作为向第三方应用授权访问自身资源的凭证。
OAuth2.0协议(四)、基于OAuth2.0的OIDC认证协议
it_lihongmin的博客
01-12 1793
OIDC(OpenID Connect)协议建立在OAuth2.0协议的基础上,这里需要分清OAuth2.0是一个授权协议,而OIDC是一个认证协议,特别容易搞混。只是OAuth授权框架中包含了部分需要调用认证的信息,而IODC协议利用了OAuth2.0的认证流程(或者利用了去管道、通道)并增加了输出了id_token和OpenId(认证结果和标识)。可以理解: IODC【OpenID Connect】 = OAuth2.0【授权协议】+ 身份认证; IODC定义了三个角色: EU(End...
SAML vs OIDC:一文读懂两大身份协议
yuzijiang11111的博客
05-08 712
安全断言标记语言(SAML)协议和 OpenID Connect(OIDC协议是两种较为常见的身份验证协议和身份标准,都支持单点登录(SSO),也有各自的优缺点。本文将对比 SAML 和 OIDC 两种协议探究各自的企业用例,以及每种协议对身份和访问管理(IAM)的贡献。
理解OIDC协议和认证机制.doc
07-09
理解OIDC协议和认证机制.doc
kubelogin:Kubernetes OpenID Connect身份验证的kubectl插件(kubectl oidc-login)
02-03
这是使用Google Identity Platform进行Kubernetes身份验证的示例: Kubelogin设计为可作为。 运行kubectl时,kubelogin打开浏览器,您可以登录到提供程序。 然后kubelogin从提供者那里获得一个令牌,并且kubectl...
OIDC协议 - ACG-技术分享 - Confluence.html
04-24
OIDC协议 - ACG-技术分享 - Confluence.html
OIDC-springcloudexaple
06-11
OIDC-springcloudexaple
trac-oidc:Trac的OpenID Connect身份验证
05-21
一个插件支持的认证到使用协议。 目前,这可能仅适用于的OpenID Provider 。 该插件被编写为的部分替代品,因为Google(自2015年6月中旬开始)使用OpenID 2.0进行身份验证。 由于使用了Google的用于将OpenID 2.0...
理解 OIDC 与 OAuth2.0 协议
乌龟的专栏
02-22 809
理解 OIDC 与 OAuth2.0 协议
OIDC认证+授权
qq_38644495的博客
04-13 5200
五分钟理解什么是 OIDC (OpenID Connect) 什么是 OIDCOIDC 的全称是 OpenID Connect,是一套基于 OAuth 2.0 的认证 + 授权协议,用于用户身份认证,将用户数据安全地暴露给第三方。 OIDC 与 OAuth 2.0 有何不同? OAuth 2.0 是用于授权的行业标准协议。OAuth 2.0 致力于简化客户端开发人员的工作,同时为 Web 应用程序,桌面应用程序,移动电话和物联网设备提供特定的授权流程。 以上是 OAuth 2.0 的官方定义。我们举一
深入浅出理解OIDC
weixin_45747080的博客
07-19 2298
OIDC是OAuth2.0的增强,OIDC的核心是IDToken。相较于OAuth2.0,在授权流程多返回了IDToken,并且OIDC的Identity Provider还提供ID Token的认证服务。对于第三方应用程序(RP)来说可以更加安全地获取到登录用户的个人信息和唯一标识,使得第三方应用程序可以自己存储已登录用户的个人信息,但是不需要提供认证服务,因为认证服务是交由了Identity Provider。
干货 | 使用 OIDC 进行身份验证的工作原理
12-19 560
之后,用户需要通过某种保密的途径悄悄告诉 IdP 自己的私密信息,IdP 确认无误后,就可以将当前正在进行请求的用户和用户目录中的身份信息对应起来,如此一来,用户在 IdP 上的认证过程就完成了。也正因如此,密码模式中让用户确认权限是没有意义的,SP 获取的一定是用户资源的完全访问权限。《身份云动态 | 认证和授权,都离不开的 OIDC 协议》一文中提到,OIDC 诞生的场景是 —— 被授权的主体不再是用户,而是「想要访问用户资源的第三者」,而颁发权限的主体也不再是管理员,而是用户自己。
okta oidc验证 程序
12-11
Okta是一家提供身份验证和授权解决方案的公司,他们的OpenID Connect(OIDC)验证程序可以帮助开发人员轻松实现用户身份验证和授权功能。在使用Okta OIDC验证程序时,首先需要在Okta平台上注册一个应用程序,并获取相应的客户端ID和客户端密钥。然后,在应用程序中配置OIDC验证流程,包括重定向URI和授权范围等参数。 当用户尝试访问受保护的资源时,应用程序会将用户重定向到Okta的登录页面,用户在此页面输入其凭证进行身份验证。验证成功后,Okta会向应用程序返回一个包含访问令牌和ID令牌的响应。应用程序可以使用这些令牌来访问受保护资源或获取用户信息。 对于开发人员来说,使用Okta OIDC验证程序可以大大简化身份验证和授权的开发工作。开发人员无需自己构建和管理身份验证系统,只需集成Okta的OIDC验证程序即可实现快速、安全的用户身份验证和授权功能。同时,Okta还提供了丰富的文档和示例代码,帮助开发人员快速上手和解决在集成过程中遇到的问题。 总的来说,Okta OIDC验证程序为开发人员提供了一种简单而强大的身份验证和授权解决方案,可以帮助他们快速实现安全可靠的用户身份验证功能,提升应用程序的安全性和用户体验。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

RachelHwang

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值