五分钟入门OAuth2.0与OIDC

最新推荐文章于 2024-04-24 16:11:23 发布
最新推荐文章于 2024-04-24 16:11:23 发布
阅读量383 收藏
点赞数
分类专栏: 权限 文章标签: 认证 Powered by 金山文档
原文链接:https://cloud.tencent.com/developer/article/2162707
版权

OAuth2.0 与 OIDC

简述

OAuth2.0

OAuth2.0是一种用于访问授权的行业标准协议,OAuth2.0用于为互联网用户提供将其在某个网站的信息授权给其他第三方应用、网站访问,但是不需要将网站的账号密码给第三方应用、网站。

举个例子:

我在Github上有一个账号,现在我要访问其他网站如leetcode.cn,但又不想在LeetCode上重新填入各种身份信息创建账号。那能否复用我在github.com上的一些信息数据?

如果github.comleetcode.cn实现了OAuth2.0协议,那么我就可以授权leetcode.cngithub.com上访问我的在github.com上的基本账户信息(如用户名、头像、邮箱、手机号)等。

OIDC-OpenID Connect

OIDC,即OpenID Connect。

OpenID Connect 是基于OAuth 2.0的身份认证协议,增加了Id Token。

OIDC是OAuth2.0的超集,可以理解为OIDC=身份认证+OAuth2.0.

OAuth2.0主要定义了资源的授权,而OIDC主要关注的是身份的认证。(身份信息也属于资源,但是OAuth2.0中没有对身份信息包含哪些内容以及认证过程做完整定义)

举个例子:

我有一个google账号,我会使用许多google系的应用,如Gmail、Chrome等。通过ODIC(可能是定制版本),我可以使用同一个google账号去登录这些google系应用(以及以google作为身份提供商的第三方应用)。甚至这些应用间可以以Goolge账号系统提供的ID Token来认证是不是同一个用户。

OAuth2.0

角色定义

OAuth2.0 中包含四个角色

资源拥有者-Resource Owner: 能够授予对受保护资源的访问权限的实体。当资源所有者是人员时,它被称为最终用户。

资源服务器-Resource Server: 托管受保护资源的服务器,能够接受并使用访问令牌响应受保护的资源请求。

客户端-client: 代表资源所有者在其授权下,发起受保护资源请求的应用程序。

授权服务器-Authorization Server: 服务器在成功对资源所有者进行身份验证并获得授权后向客户端颁发访问令牌。

在互联网系统场景下:

资源拥有者通常是网站的最终用户

资源服务器和授权服务器通常是同一个网站/应用里的子系统/模块,如微信中的数据库模块和认证模块。

客户端-client通常是一些第三方网站/应用,如微信里的小程序。

运行流程

evernotecid://7D20C308-3D50-459D-A54D-B87FB1FC2C81/appyinxiangcom/11494076/ENResource/p1015

image.png

(A): client 向 Resource-Owner 请求认证授权。

(B): client 获得 Resource-Owner 授权的凭据。

(C): client 通过向 Authorition-Server 进行身份验证并显示授权来请求访问令牌Access Token。

(D): client 获得 Access Token

(E): client 使用前面获得的 Access Token 请求被保护的资源

(F): client 获得 被保护的资源

在OAuth2.0的运行流程中,

(C)->(F)实现相对单一,就是后台获取Access Token,以及用Access Token来访问资源。

(A)->(B)则有比较大的操作空间,如果请求Resource-Owner的授权,以及获得的是什么样的凭据,可以根据场景需要来实现。

四种授权模式

OAuth 2.0定义了四种授权方式

授权码模式(authorization code)

简化模式(implicit)

密码模式(resource owner password credentials)

客户端模式(client credentials)

授权码模式 authorization code

授权码模式是最常用、最安全的授权方式,适用于有后端的Web应用。

授权码模式的基本原理是:

client 不直接向Resource Owner请求授权,而是利用Authorization Server作为一个中间媒介,

  1. client将Resource Owner引导至Authorization Server的页面(会带上client的页面地址)。

  1. Resource Owner在Authorization Server的页面完成认证后,生成authorization code重定向回client页面。

  1. 以上即完成OAuth2.0运行流程中的(A)->(B), client有了Authorization Server提供的凭据authorization code即可进行后续动作,请求Access Token

简化模式implicit

简化模式是将OAuth2.0运行流程中的(A)->(B), (C)->(D)两次交互合并成一次交互,即client不获取authorization code, 而是再第一次交互直接获取Access Token.

简化模式中获取Access Token的过程和授权码模式中获取authorization code相似。

密码模式resource owner password credentials

密码模式是Resource Owner直接向client提供账号密码,client使用账号密码来向Authorization Server请求Access Token

密码模式适用于client高度可信的场景。

客户端模式client credentials

客户端模式指:客户端以自己的名义,而不是以Resource Owner的名义,向authorization Server进行请求授权。这里就不存在Resource Owner的授权了。

OpenID Connect —— OIDC

OpenID Connect协议族 及其依赖的基础如下图所示:

evernotecid://7D20C308-3D50-459D-A54D-B87FB1FC2C81/appyinxiangcom/11494076/ENResource/p1017

image.png

OpenID使用OAuth2.0作为其授权协议,在此基础上定义了身份认证的过程。

OpenID运行流程

evernotecid://7D20C308-3D50-459D-A54D-B87FB1FC2C81/appyinxiangcom/11494076/ENResource/p1016

image.png

  1. RP(客户端)向OP(OpenID Provider) 发送请求。

  1. OP 对最终用户进行身份验证并获取授权。

  1. OP 使用 ID-Token(通常为访问令牌)进行响应。

  1. RP 可以使用访问令牌将请求发送到用户信息终结点。

  1. 用户信息终结点返回有关最终用户的claim。

OIDC的核心在于授权过程中,一并提供用户的身份认证信息ID-Token(使用JWT来包装)给到第三方客户端,OP通常还提供了GetUserInfo的接口,用于获取用户更完整的信息。

OpenID Provider

OpenID Provider 是OpenID Connect最关键的组件。

  1. 大型的互联网厂商(其本身就用几十个上百个应用需要打通账号、单点登录)

  1. 独立的专门提供OIDC服务的厂商

  1. 自建

追兔子的乌龟
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security 5.x+OAuth2.0+OIDC1.0
z2008g的专栏
05-29 1251
5分钟完成Spring Security+OAuth2.0+OIDC1.0集成
Springboot 3 + Spring Security 6 + OAuth2 入门级最佳实践
热门推荐
m0_64469199的博客
05-03 1万+
当我的项目基于 SpringBoot 3 而我想使用Spring Security,最终不幸得到WebSecurityConfigurerAdapter被废弃的消息。本文档就是在这样的情况下产生的。
授权协议OAuth 2.0之通过OIDC实现SSO
wang0907的博客
04-24 861
OIDC的全称是openid connect,和OAuth2.0一样,也是属于协议和规范的范畴。OAuth2.0是一种授权协议,即规定了的内容。而OIDCOAuth2.0的超集,不仅规定了,还定义了的内容,即OIDC不仅是授权协议,也是一种认证协议。实际上,OIDC也正是在OAuth2.0的基础上做了扩展,从而支持了身份认证的功能,如下图:1:受保护资源的拥有者一般是我们自己2:受保护的资源一般就是HTTP的接口形式的API,当然也可以是其他形式3:三方软件一般是希望拿到受保护资源的角色。
Spring Security对接OIDC(OAuth2)外部认证
浪子天涯行世录
02-19 772
前后端分离项目对接OIDC(OAuth2)外部认证认证服务器可以使用Keycloak。后端已有用户管理和权限管理,需要外部认证服务器的用户名和业务系统的用户名一致才可以登录。后台基于Spring Boot 2.7 + Spring Security。
IdentityServer4(六)授权码流程原理之SPA
dotNET跨平台
01-21 3087
在【One by One系列】IdentityServer4(四)授权码流程中提过一句:“为了安全,IdentityServer4是带有PKCE支持的授权码模式”我们来回顾一下授权码流程...
oauth2 access_denied 不允许访问_OAuth2.0系列之客户端模式实践教程(五)
weixin_39590989的博客
12-10 2057
OAuth2.0系列之客户端模式实践教程(五)1、客户端模式简介1.1 前言简介1.2 授权流程图2、例子实践2.1 实验环境准备2.2 OAuth2.0角色2.3 OAuth2.0配置类2.4 Security配置类2.5 功能简单测试OAuth2.0系列博客:OAuth2.0系列之基本概念和运作流程(一)OAuth2.0系列之授权码模式实践教程(二)OAuth2.0系列之简化模式实践...
OAuth2.0原理图解:第三方网站为什么可以使用微信登录
JAVA前线技术专栏
02-20 693
欢迎大家关注公众号「JAVA前线」查看更多精彩分享文章,主要包括源码分析、实际应用、架构思维、职场分享、产品思考等等,同时欢迎大家加我个人微信「java_front」一起交流学习 1 文章概述 假设小明开发了一个A网站,需要支持微信登陆和淘宝账号登陆。如果你是微信或者淘宝开发人员,你会怎么设计这个功能?本文结合淘宝开放平台官方文档以淘宝账号为例。 从最简单视角去思考,用户在网站A输入淘宝用户名和密码,网站A调用淘宝接口校验输入信息,校验通过则登陆成功,整体流程如下图: 上述思路存在什么问题?最显.
OAuth2.0协议中文版.pdf
03-27
OAuth2.0是OAuth协议的延续版本,但不向前兼容OAuth 1.0(即完全废止了OAuth1.0)。 OAuth 2.0关注客户端开发者的简易性。要么通过组织在资源拥有者和HTTP服务商之间的被批准的交互动作代表用户,要么允许第三方应用...
Spring Security Oauth2.0 实现短信验证码登录示例
08-28
本篇文章主要介绍了Spring Security Oauth2.0 实现短信验证码登录示例,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
Java的oauth2.0 服务端与客户端的实现 (完整源码、demo)
09-14
Java的oauth2.0 服务端与客户端的实现.zip 封装了oauth2.0的基本架构和实现,对照我的博客http://blog.csdn.net/jing12062011/article/details/78147306使用该源码。 下载项目压缩包,解压,里面两个maven项目:...
OAuth2.0协议原理与实现
03-08
OAuth2.0协议原理与实现
OAUTH2.0+OpenLDAP技术框架
01-09
OAUTH2.0+OpenLDAP技术框架,及适用场景,综合价值等PPT文档,可修改!!!
OAuth2.0协议(四)、基于OAuth2.0OIDC认证协议
it_lihongmin的博客
01-12 1824
OIDC(OpenID Connect)协议建立在OAuth2.0协议的基础上,这里需要分清OAuth2.0是一个授权协议,而OIDC是一个认证协议,特别容易搞混。只是OAuth授权框架中包含了部分需要调用认证的信息,而IODC协议利用了OAuth2.0认证流程(或者利用了去管道、通道)并增加了输出了id_token和OpenId(认证结果和标识)。可以理解: IODC【OpenID Connect】 = OAuth2.0【授权协议】+ 身份认证; IODC定义了三个角色: EU(End...
OAuth2.0(及OIDC 1.0)选型建议及SSO、SLO方案
罗小爬的技术宝书
02-26 2658
本文主要介绍了OAuth 2.0 & OIDC 1.0 的不同授权流程的选型建议,以及使用OIDC实现SSO、SLO整体方案。
OAuth2/OIDC
sun007700的专栏
05-23 228
GitHub - zorn-v/nextcloud-social-login Running behind Identity-aware proxy? - ℹ️ Support - Nextcloud community I’m looking to configure Nextcloud behindPomerium3, an identity aware proxy. Through the web interface, it’s all good: I authenticate using..
开放平台实现安全的身份认证与授权原理与实战:OIDCOAuth2.0的区别
禅与计算机程序设计艺术
11-16 127
1.背景介绍 随着信息技术的飞速发展,越来越多的人把自己的个人数据、生活事务、金融交易甚至是财产权利都放在了互联网上。因此,保护用户数据的安全成为了当务之急。为此,安全意识高,技术能力强的互联网企业应运而生。 互联网企业面临的最大安全风险之一就是数据被盗用、泄露、篡改等。解决这一问题的第一步就是构建可信任的平台,并且让用户能够自助获取必要
【笔记】浅谈OAuth2 accessToken和OIDC idToken的理解和使用场景
LeoSong121的博客
04-02 1万+
前言 OAuth2 官网:https://oauth.net/2/ OIDC:Open ID Connect 官网:http://openid.net/connect/ What is OpenID Connect? OpenID Connect 1.0 is a simple identity layer on top of the OAuth 2.0 protocol. It allows Clients to verify the identity of the End-User bas
理解 OIDCOAuth2.0 协议
乌龟的专栏
02-22 832
理解 OIDCOAuth2.0 协议
OIDC & OAuth2.0 协议及其授权模式详解|认证协议最佳实践系列【1】
Authing的博客
02-22 901
OIDC & OAuth2.0 协议最佳实践系列。
OIDCOAuth2.0区别
最新发布
05-29
OIDC(OpenID Connect)和OAuth2.0都是互联网上的身份验证和授权框架,它们有一些相似之处,但也有不同之处。 OAuth 2.0是一个授权框架,用于允许用户授权第三方应用程序访问他们的受保护资源,例如用户数据。它...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值