[认证授权] 4.OIDC(OpenId Connect)身份认证授权(核心部分)

最新推荐文章于 2024-01-26 10:20:10 发布
最新推荐文章于 2024-01-26 10:20:10 发布
阅读量1.4k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sD7O95O/article/details/78096424
版权
OpenID Connect (OIDC) 是建立在OAuth2之上的身份认证协议,它提供了一个简单的方法来验证用户身份并获取基本的用户信息。OIDC通过在OAuth2授权流程中加入ID Token,允许客户端安全地获取和验证用户身份信息。其工作流程包括认证请求、ID Token的获取和验证、以及通过UserInfo Endpoint获取更详细的用户信息。OIDC包含多个可选规范,如Discovery和Session Management,但核心规范定义了身份认证和使用Claims传递用户信息。OIDC广泛应用于各大企业,如Google和Microsoft,且与OAuth2兼容。
摘要由CSDN通过智能技术生成

1 什么是OIDC?

看一下官方的介绍(http://openid.net/connect/):

OpenID Connect 1.0 is a simple identity layer on top of the OAuth 2.0 protocol. It allows Clients to verify the identity of the End-User based on the authentication performed by an Authorization Server, as well as to obtain basic profile information about the End-User in an interoperable and REST-like manner.

OpenID Connect allows clients of all types, including Web-based, mobile, and JavaScript clients, to request and receive information about authenticated sessions and end-users. The specification suite is extensible, allowing participants to use optional features such as encryption of identity data, discovery of OpenID Providers, and session management, when it makes sense for them.

简单来说:OIDC是OpenID Connect的简称,OIDC=(Identity, Authentication) + OAuth 2.0。它在OAuth2上构建了一个身份层,是一个基于OAuth2协议的身份认证标准协议。我们都知道OAuth2是一个授权协议,它无法提供完善的身份认证功能(关于这一点请参考[认证授权] 3.基于OAuth2的认证(译)),OIDC使用OAuth2的授权服务器来为第三方客户端提供用户的身份认证,并把对应的身份认证信息传递给客户端,且可以适用于各种类型的客户端(比如服务端应用,移动APP,JS应用),且完全兼容OAuth2,也就是说你搭建了一个OIDC的服务后,也可以当作一个OAuth2的服务来用。应用场景如图:

OIDC已经有很多的企业在使用,比如Google的账号认证授权体系Microsoft的账号体系也部署了OIDC,当然这些企业有的也是OIDC背后的推动者。除了这些之外,有很多各个语言版本的开源服务端组件,客户端组件等等(http://openid.net/developers/certified/);

理解OIDC的前提是需要理解OAuth2,这里假设大家都有OAuth2的基础,不清楚的可以先阅读本系列的前几篇OAuth2的文章。

2 OIDC 协议族

OIDC本身是有多个规范构成,其中包含一个核心的规范,多个可选支持的规范来提供扩展支持,简单的来看一下:

  1. Core:必选。定义OIDC的核心功能,在OAuth 2.0之上构建身份认证,以及如何使用Claims来传递用户的信息。

  2. Discovery:可选。发现服务,使客户端可以动态的获取OIDC服务相关的元数据描述信息(比如支持那些规范,接口地址是什么等等)。

  3. Dynamic Registration :可选。动态注册服务,使客户端可以动态的注册到OIDC的OP(这个缩写后面会解释)。

  4. OAuth 2.0 Multiple Response Types :可选。针对OAuth2的扩展,提供几个新的response_type。

  5. OAuth 2.0 Form Post Response Mode:可选。针对OAuth2的扩展,OAuth2回传信息给客户端是通过URL的querystring和fragment这两种方式,这个扩展标准提供了一基于form表单的形式把数据post给客户端的机制。

  6. Session Management :可选。Session管理,用于规范OIDC服务如何管理Session信息。

  7. Front-Channel Logout:可选。基于前端的注销机制,使得RP(这个缩写后面会解释)可以不使用OP的iframe来退出。

  8. Back-Channel Logout:可选。基于后端的注销机制,定义了RP和OP直接如何通信来完成注销。

除了上面这8个之外,还有其他的正在制定中的扩展。看起来是挺多的,不要被吓到,其实并不是很复杂,除了Core核心规范内容多一点之外,另外7个都是很简单且简短的规范,另外Core是基于OAuth2的,也就是说其中很多东西在复用OAuth2,所以说你理解了OAuth2之后,OIDC就是非常容易理解的了,我们这里就只关注OIDC引入了哪些新的东西(Core,其余7个可选规范不做介绍,但是可能会提及到)。千言万语都不如一张图,没图你说个***。

上图是官方给出的一个OIDC组成结构图,我们暂时只关注Core的部分,其他的部分了解是什么东西就可以了,当作黑盒来用。就像当初的AJAX一样,它其实并不是一个新的技术,而是结合很多已有的技术,按照规范的方式组合起来,就是AJAX。同理,OIDC也不是新技术,它主要是借鉴OpenId的身份标识,OAuth2的授权和JWT包装数据的方式,把这些技术融合在一起就是OIDC。

3 OIDC 核心概念

OAuth2提供了Access Token来解决授权第三方客户端访问受保护资源的问题;OIDC在这个基础上提供了ID Token来解决第三方客户端标识用户身份认证的问题。OIDC的核心在于在OAuth2的授权流程中,一并提供用户的身份认证信息(ID Token)给到第三方客户端,ID Token使用JWT格式来包装,得益于JWT(JSON Web Token)的自包含性,紧凑性以及防篡改机制,使得ID Token可以安全的传递给第三方客户端程序并且容易被验证。此外还提供了UserInfo的接口,用户获取用户的更完整的信息。

3.1 OIDC 主要术语

主要的术语以及概念介绍(完整术语参见http://openid.net/specs/openid-connect-core-1_0.html#Terminology):

  1. EU:End User:一个人类用户。

  2. RP:Relying Party ,用来代指OAuth2中的受信任的客户端,身份认证和授权信息的消费方;

  3. OP:OpenID Provider,有能力提供EU认证的服务(比如OAuth2中的授权服务),用来为RP提供EU的身份认证信息;

最低0.47元/天 解锁文章
dotNET跨平台
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
在 Kubernetes 中使用 Keycloak OIDC Provider 对用户进行身份验证
cr7258的博客
04-06 3811
API Server 作为 Kubernetes 的网关,是用户访问和管理资源对象的入口。对于每个访问请求, API Server 都需要对访问者的合法性进行检查,包括身份验证、权限验证等等。Kubernetes 支持多种身份验证的方式,本文将对 OpenID Connect 认证进行介绍。 1 OpenID ConnectOIDC)介绍 OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三方应用访问他们存储在其他服务提供者上的信息
frp使用oidc认证和搭建
第九系艾文
09-05 2570
frp使用oidc,oidc搭建授权
OIDC协议 — 理解OIDC身份认证授权
qq_38658567的博客
09-13 985
本篇博客介绍了OIDC的发现服务,OAuth2的扩展规范。OIDC其本身是一个完全开放的标准,而且兼容众多的已有的IDP(身份提供商),比如基于SAML的、基于WS-Federation的等等已有的身份认证系统,都可以作为OIDC的OP存在。OIDC使得身份认证可以作为一个服务存在。OIDC可以很方便的实现SSO(跨顶级域)。OIDC兼容OAuth2,可以使用Access Token控制受保护的API资源。OIDC可以兼容众多的IDP作为OIDC的OP来使用。
通过 api 和 keycloak 理解OIDC认证
10 学习笔记
12-27 3053
单点登录(Single Sign On)是目前比较流行的企业业务整合的解决方案之一,在多个应用系统中,用户只需要登录一就可访问所有相互信任的应用系统。而OIDCOpenID Connect)是一个基于 OAuth 2.0 的轻量级认证 + 授权协议,是 OAuth 2.0 的超集。OIDC Provider即身份提供商,常见的微信扫码登陆场景,微信就是OIDC Provider。我们使用**[node-oidc-provider](https://github.com/panva/node-oidc-p
drf-oidc-auth:Django REST框架的OpenID Connect身份验证
05-15
Django Rest Framework的OpenID Connect身份验证 该软件包包含一种身份验证机制,用于使用从OpenID Connect获得的令牌对REST API的用户进行身份验证。 当前,它仅支持JWT和Bearer令牌。 JWT令牌将针对OpenID连接...
授权服务器:Spring Boot OAuth 2.0和OpenID Connect身份提供者授权服务器
01-29
授权服务器兼容OAuth 2.0和OpenID ConnectOIDC)的授权服务器,仅用于演示目的,可用作OAuth2 / OIDC研讨会的一部分。目标此授权服务器应... 作为开源免费提供支持学习OAuth2 / OpenID Connect的努力(自学或作为...
liferay-oidc-plugin:Liferay插件,启用OpenID Connect身份验证
05-26
该插件使用OpenID Connect协议使Liferay使用外部身份验证源,例如社交网络和SSO系统。 它。 介绍 OpenID Connect协议将身份验证委托给所谓的提供程序,并为请求的应用程序(在我们的示例中为Liferay)提供访问令牌...
kubelogin:Kubernetes OpenID Connect身份验证的kubectl插件(kubectl oidc-login)
02-03
这是使用Google Identity Platform进行Kubernetes身份验证的示例: Kubelogin设计为可作为。 运行kubectl时,kubelogin打开浏览器,您可以登录到提供程序。 然后kubelogin从提供者那里获得一个令牌,并且kubectl...
oidc-rs:Node.js的OpenID Connect资源服务器身份验证
05-07
OpenID Connect资源服务器身份验证 Node.js的OpenID Connect资源服务器身份验证 特征 OAuth 2.0承载令牌使用情况(RFC 6750) JWT访问令牌验证(规范待定) 发行者发现(OpenID Connect发现) 动态密钥旋转...
oidc:Go的OpenID Connect SDK(客户端和服务器)
02-05
Go的OpenID Connect SDK(客户端和服务器) 该项目处于Alpha状态。 它可以与AND继续中断,直到发布1.0.0版 它是什么 该项目是针对Go编写的OIDC (开放ID连接)标准的易于使用的客户端和服务器实现。 只要有可能,我们都会尝试重用/扩展现有的软件包,例如OAuth2 for Go 。 如何使用它 待定 产品特点 代码流 隐式流 混合流 发现 PKCE 代币兑换 TLS 智威汤逊简介 接力党 是 是 还没 是 是 部分的 还没 是 起源党 是 是 还没 是 是 还没 还没 是 资源资源 为了您的方便,您可以在下面找到相关的标准链接。 受支持的Go版本 版 支
oidc-demo
03-02
oidc.demo OIDCServer:认证授权服务器,是基于IdentityServer4的Web项目。访问地址: OIDCProtectedResources:受保护的资源,也是一个Web项目。访问地址: OIDCClient:客户端,也是一个Web项目。访问地址: 这个分支演示OAuth2.0的Authorization Code授权模式。 需要做的配置 在hosts文件增加 127.0.0.1 server.oidc.test 127.0.0.1 api.oidc.test 127.0.0.1 client.oidc.test 信任根证书cert/myun-ca-root.crt 。 运行说明 启动OIDCServer项目。 启动OIDCProtectedResources项目。 启动OIDCClient项目。 浏览器访问OIDCClient项目 //client.oidc
OIDC的介绍
最新发布
weixin_65692248的博客
01-26 1850
OIDC协议的基本介绍,以及三种流程。
OIDC
12-30 1303
OIDC (OpenId Connect) OIDC认证中心通过发现文档向外公布各个终结点的位置,客户端通过请求发现文档来获取各个终结点的实际路径 要实现OIDC,就是根据协议规范实现下面的终结点 Disvovery :发现文档 Authorise:授权 Token:令牌获取 DeviceAuthorization:设备授权 Instrospection:验证Token是否正确, Revocation:令牌撤销 EndSession:登录注销 CheckSession:返回是否已经注销 UserInfo:
OAuth2.0协议扩展——OIDC认证协议的基本概念
码农小胖哥
08-02 1208
前言在上一文里我们通过一个例子回顾了OAuth 2.0的流程,同时指出了OAuth 2.0的局限性:客户端无法认定资源拥有者就是正确的拥护者,虽然市面上的OAuth 2.0能够保证授权的安...
干货 | 使用 OIDC 进行身份验证的工作原理
12-19 619
之后,用户需要通过某种保密的途径悄悄告诉 IdP 自己的私密信息,IdP 确认无误后,就可以将当前正在进行请求的用户和用户目录中的身份信息对应起来,如此一来,用户在 IdP 上的认证过程就完成了。也正因如此,密码模式中让用户确认权限是没有意义的,SP 获取的一定是用户资源的完全访问权限。《身份云动态 | 认证授权,都离不开的 OIDC 协议》一文中提到,OIDC 诞生的场景是 —— 被授权的主体不再是用户,而是「想要访问用户资源的第三者」,而颁发权限的主体也不再是管理员,而是用户自己。
Openid Connect(OIDC)
goddessblessme的博客
04-19 1114
它在OAuth2上构建了一个身份层,是一个基于OAuth2协议的身份认证标准协议。解决认证问题。OIDC在OAuth2的access_token的基础上增加了身份认证信息, 通过公钥私钥配合校验获取身份等其他信息—– 即idToken。
OIDC协议
飞鸟慕鱼的博客
09-30 3072
1.ID Token是jwt,包含一组关于身份认证会话的声明(claim) 2.access token在oidc中也能使用,伴随着id token一起被发送到客户端,但是这不是必要的,因为id token已经包含了用户信息,access token只是为了和OAuth兼容。 3.oidc新增了用户端点,可以获取用户的个人信息 4.oidc规定客户端可以简单的发现授权服务器的所有端点 主要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值