OpenID Connect 是什么?和 OAuth 有哪些异同?

最新推荐文章于 2024-06-04 12:30:00 发布
最新推荐文章于 2024-06-04 12:30:00 发布
阅读量642 收藏 17
点赞数 19
分类专栏: Web 开发技术 文章标签: 系统设计 OAuth OIDC OpenID Web 鉴权 授权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shaoshaoh/article/details/138716881
版权

因为工作关系,我需要给一个业务网站配置一个 SSO,我一看,这个业务网站只支持 SAML 和 OpenID Connect,也即 OIDC。其实早就听说过这个词,但是没有仔细了解过。所以,特来学习一下到底什么是 OIDC。

一、 什么是 OpenID Connect?

在这里插入图片描述

OpenID Connect(OIDC)是一个基于Internet的标准身份验证协议,它建立在OAuth 2.0授权框架之上。通过OIDC,第三方应用可以安全地认证用户,并获取其基本的个人信息,同时保证用户的登录过程安全和简洁。

发明时间

OpenID Connect 1.0 是在2014年发布的。它由OpenID Foundation推动,这是一个非营利国际标准组织,旨在推动身份认证的开放标准。

发明原因

OpenID Connect的发明有几个关键的动机和目的:

简化用户体验:

OpenID Connect允许用户使用单一的身份认证信息(如Google账户或Facebook账户)登录多个应用。这种“单点登录”(SSO)功能简化了用户的登录体验,减少了需要记忆多个用户名和密码的负担。

安全性和隐私:

OAuth 2.0 是一个非常成功的授权框架,但它本身并不处理身份认证。OpenID Connect 在 OAuth 2.0 的基础上添加了身份验证层,提高了安全性。它使用 ID Tokens 和数字签名技术来确保身份信息的安全传输和验证。

互操作性:

随着互联网服务的增加,需要一个标准化的方法来处理跨域的身份验证和授权。OpenID Connect 作为一个开放标准,支持广泛的互操作性,允许不同系统和服务之间的无缝集成。

适应现代应用架构:

随着移动设备和单页应用(SPA)的兴起,需要一种可以在这些现代应用架构中高效工作的身份验证方法。OpenID Connect 支持这些应用的身份验证需求,允许令牌和用户信息的安全传输。
通过满足这些需求,OpenID Connect 成为了现代互联网应用广泛采用的身份验证标准,被全球许多大型技术公司和服务所支持。

二、 与 OAuth 2.0 的异同

从上,我们已经知道 OpenID Connect 是建立在 OAuth 2.0 之上的,那么 OpenID Connect 与 OAuth 2.0 到底有什么异同?

主要异同

目的:

OAuth 2.0:主要用于授权,允许应用访问用户在另一个服务上的资源,而不需要向应用暴露用户的用户名和密码。
OpenID Connect:在OAuth 2.0的基础上增加了身份验证。它允许客户端验证用户的身份并获取基本的用户个人信息。

ID令牌:

OpenID Connect 引入了ID令牌(ID Token),这是一个JSON Web Token(JWT),包含了关于用户的信息,可以被客户端用来验证用户身份。
OAuth 2.0 不提供 ID 令牌,它关注于访问令牌(Access Token)来获取资源。

用户信息:

OpenID Connect 提供了一个标准的端点(UserInfo Endpoint),客户端可以使用Access Token从该端点获取用户信息。
OAuth 2.0 标准本身并不定义如何获取用户信息,这通常由实现者自行扩展。

将OAuth 2.0 IdP升级为OpenID Connect

如果你已有一个实现了OAuth 2.0的身份提供者(IdP),你不能直接将其作为OpenID Connect提供者使用,因为缺少了处理ID令牌和UserInfo端点的功能。要进行升级,通常需要进行以下改动:

ID令牌的生成:你需要在身份验证流程中添加生成JWT格式的ID令牌的功能,这包括对用户身份的验证以及必要的加密和签名过程。

UserInfo端点:需要实现一个端点,通过此端点,客户端可以使用Access Token来获取用户的详细信息。

配置信息:OpenID Connect要求提供一个发现文档(通常是在.well-known/openid-configuration的URL下),描述你的OpenID Connect服务的相关元数据。

三、OpenID Connect 的基本流程

OpenID Connect (OIDC) 的验证流程在很多方面与 OAuth 2.0 的流程相似,但增加了一些关键的步骤和元素以支持身份验证。这包括了ID令牌(ID Token)的引入,这是一个基于JSON Web Token (JWT) 的令牌,用于确认用户身份。

OpenID Connect 的基本流程:

  1. 用户重定向

    • 应用将用户的浏览器重定向到 IdP 的授权端点(Authorization Endpoint),与 OAuth 2.0 类似。不同的是,OIDC在重定向时需要明确请求openid作为作用域(scope)之一,这表示正在进行一个OpenID Connect请求。

  2. 用户登录和授权

    • 用户在 IdP 的页面上进行身份验证(如果尚未登录)并授权应用访问其信息。这一步同OAuth 2.0。

  3. IdP 返回授权码

    • IdP 将用户浏览器重定向回应用的回调地址(Callback URL),并附带一个授权码(Authorization Code)。这与OAuth 2.0 相同。

  4. 交换授权码

    • 应用服务器使用授权码,通过向 IdP 的令牌端点(Token Endpoint)发送请求来交换访问令牌(Access Token)和ID令牌。这一步超出了OAuth 2.0的标准范畴,因为它涉及到了ID令牌的获取。

  5. 验证ID令牌

    • 应用服务器需要验证ID令牌的有效性,包括验证签名和声明,如发行者、用户、令牌的有效时间等。

  6. 获取用户信息

    • 应用可以使用访问令牌向用户信息端点(UserInfo Endpoint)发送请求,以获取更多用户信息。这一步是OpenID Connect特有的,用于获取标准化的用户个人信息。

至关重要的 API 端点

  1. 授权端点(Authorization Endpoint)

    • 这是启动OIDC认证流程的地方,用于接收授权请求并对用户进行身份验证和授权。

  2. 令牌端点(Token Endpoint)

    • 这个端点用于交换授权码以获取Access Token和ID Token。此步骤是服务器到服务器的通信,保证了安全性。

  3. 用户信息端点(UserInfo Endpoint)

    • 提供标准化的API,应用可以通过此端点使用Access Token获取用户的详细信息。

  4. JWKS端点(JSON Web Key Set Endpoint)

    • 这是一个提供公开密钥的端点,客户端可以使用这些密钥来验证ID Token的签名。

  5. 发现文档(Discovery Document)

    • 通常位于.well-known/openid-configuration,这个文档包含了OIDC服务的所有相关元数据和端点信息。

通过实现这些核心功能和端点,你的身份提供者就可以支持OpenID Connect协议了,从而不仅能授权用户访问资源,还能验证其身份。

四、图解分析

1. response_type=code

在这里插入图片描述
如果您了解 OAuth 2.0,就会对这幅图充满了熟悉感。因为这就完全是 OAuth 2.0 的经典授权流程,类型是 authorization_code,唯一有区别的是,最后一步,同时返回了 id token(JWT) 和 access token,两种类型。同样,这也是一种比较典型的 OIDC 交互流程。在 scope 参数包含 openid 的时候,会返回两者,如果 scope 参数只包含 token 的话,则完全退化成了 OAuth 2.0。

2. response_type=token

在这里插入图片描述
当 response_type=token 的时候,也是让人深感熟悉的,这恰恰就是 OAuth 2.0 的另一种场景,就是 implicit 流程。等于也退化成了 OAuth 2.0。

3. response_type=id_token

在这里插入图片描述

这种流程几乎和 OAuth 2.0 的 implicit 的流程一致。但是最后返回的却不是 access token 而是 ID Token。这就是 OIDC 独有的一种流程了。而这大概也是 OIDC 强调的,不同于 OAuth 2.0 只关注授权,OIDC 还关注验证的原因。ID Token 本质上不包含授权信息,只包含身份验证信息,这个信息被 JWT token 携带,服务提供商 SP 是可以通过解析 JWT 来验证用户的身份的。是一种比 OAuth 2.0 要轻便很多的流程,如果你的 SP 压根不需要访问用户的授权信息的话,那么使用此流程便足够了。

4. response_type=id_token token

在这里插入图片描述
这种流程就更容易理解了,无非就是上面两种类型的整合。

5. response_type=code id_token

在这里插入图片描述
感觉这就是在玩一种排列组合游戏了,这种情况下,在第三步,返回了身份验证信息的时候,授权 code 也给出了。但是服务器没有给出 access token,SP 可以进一步去获取 access token,也可以不去获取,直接使用 ID Token。

6. 其他

还有几种类型,我甚至觉得有点荒诞,大家自己看图理解一下:

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

五、总结评价

从上面的简述分析和实例分析中,我们可以看到 OpenID Connect 是对 OAuth 2.0 的一种扩展和补充。其 response_type 参数的自由组合,给实施者提供了极大的灵活性,能做到按需实现,或者按需调用。不过这种极大的灵活性,也出现了很多看起来甚至有点荒诞的组合。这种设计在笔者的认知里是不够优雅的,不应该给出这种近乎无聊的选择。当然这也是本人比较初步的判断。

另外,另我担忧的是,其安全性到底如何,暂时没有时间去深入探究其 Threat Model 和安全白皮书。因为早年看到一些安全专家对 OAuth 2.0 的驳斥,我一直对 OAuth 2.0 的安全抱有担忧。尤其是我亲眼看过很多程序员不负责任的实现后,更加担心。OAuth 2.0 是极其脆弱的一套鉴权方式,其安全性大部分押宝在 HTTPS 之上,以至于 OpenSSL 出现了 heart bleed 的时候,无数站长颤抖。

不过用在不太重要的系统鉴权之上,还是很方便的。大家自己权衡。

Charles@TechBlog
关注
  • 19
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Spring Security 6.x 系列【36】授权服务器篇之OpenID Connect 1.0
记录知识、锤炼自我
05-12 862
Spring Authorization Server是一个授权服务器框架,提供 OAuth 2.1 和 OpenID Connect 1.0 规范及其他相关规范的实现。 在之前我们已经了解了OAuth 2的相关实现,接下来了解OpenID Connect 1.0协议的相关知识,并进行案例演示。
OpenIDOAuth协议详解
03-31
OpenIDOAuth协议详,很好的文档哦,请支持下载
授权服务器:Spring Boot OAuth 2.0和OpenID Connect身份提供者授权服务器
01-29
授权服务器 兼容OAuth 2.0和OpenID ConnectOIDC)的授权服务器,仅用于演示目的,可用作OAuth2 / OIDC研讨会的一部分。 目标 此授权服务器应... 作为开源免费提供 支持学习OAuth2 / OpenID Connect的努力(自学或作为研讨会的一部分) 提供一种简单的方法来设置和运行它(即无需查阅大量文档) 支持OAuth 2.x和OpenID Connect的最新规范和草案 作为容器和支持容器提供 重要: 该项目的目的是用于演示以及作为培训/讲习班的一部分。 还没有准备好用于生产!! 如果您正在寻找生产级身份访问管理解决方案,请查阅的列表。 功能(支持) OAuth 2.0授权流程: (+ ) 签名的 不透明令牌+ 简单的用户访问管理API 简单用户访问管理Web UI(只读访问) OAuth2 / OIDC客户端API的管理 OAuth2 / OIDC客户端Web UI的管理(只读)J2 功能(不支持) OAuth 2.0授权流程: (由于,因此不受故意支持) 功能(计划中) 路线图 2020年底: -强制性OAuth 2
解析API身份验证:从基本认证到OpenID Connect
02-02 465
不同的身份验证方式适用于不同的应用场景,开发者需要根据实际需求选择合适的身份验证方式。而OpenID Connect不仅提供了身份验证功能,还提供了授权机制和附加功能,适用于各种类型的客户端和复杂的应用场景。这个令牌通常是由服务器颁发的,并且有一定的有效期。这种方式的优点在于简单易用,但需要注意的是,API密钥本身并不提供授权机制,如果密钥被泄露,攻击者可能会利用它进行未授权的访问。本文将深入探讨API身份验证的几种主要方式,从基本认证到OpenID Connect,以及它们在应用中的实际应用和优缺点。
【微服务安全】OpenID Connect 简介:现代应用程序的身份验证
最新发布
qq_44005305的博客
06-04 727
OpenID Connect (OIDC) 是一个建立在 OAuth 2.0之上的开放身份验证协议。它简化了应用程序以一种标准化和可互操作的方式验证用户身份并获取其基本个人资料信息的方式。可以将其视为应用程序“知道你是谁”的一种安全方式,而无需你创建单独的帐户或透露你的密码。您访问使用 OIDC 的网站或应用程序。代替创建新帐户,您可以单击“使用 [提供商] 登录”按钮,其中 [提供商] 可以是Google、Facebook 或其他身份提供商 (OP)。
深度剖析API安全防护:OAuth、JWT与OpenID Connect详尽指南
java专栏
05-17 596
🔥关注墨瑾轩,带你探索Java的奥秘🚀🔥超萌技术攻略,轻松晋级编程高手🚀🔥技术宝库已备好,就等你来挖掘🚀🔥订阅墨瑾轩,智趣学习不孤单🚀🔥即刻启航,编程之旅更有趣🚀。
理解OpenIDOAuth的区别
Allec Cui的博客
03-30 1万+
      在项目开发中,我们经常说授权认证,经常把他们放到一起去描述,那两者在本质上是有区别的,OpenIDOAuth就是我们说的认证和授权OpenID:Authentication 认证OAuth :Authorization   授权       如今越来越多的网站,以及一些应用程序都开始使用第三方社交平台账户登录,那这里就会涉及到安全性的问题,隐私的问题,你不能随意来获取我的资料,当然...
OpenIDOAuth
zelinhehe的专栏
04-04 1074
先说区别区别OpenIDOAuth 都可以用来认证身份,但是他们之间到底有哪些不同?OpenID — authentication 证明、鉴定、证实 ——“用户是谁”OAuth — authorization 授权、认可、批准——“用户能做什么”OpenID用户希望访问其在http://example.com的账户http://example.com (Relying Party) ...
11、OAuthOpenID服务
chaizepeng的博客
07-11 405
1、OAuth 1、1 简介 OAuth是发布受保护数据并与之交互的简单方法。对于人们来说,这也是一种更安全的访问方式。例如,它可以用来访问你的用户在Twitter上的数据。Play仅提供对OAuth 1.0的支持。 1、2 基本工作原理 在build.sbt中添加配置: libraryDependencies ++= Seq( javaWs ) 将应用程序注册到服务提供商,回调的URL必须正确,如果不匹配,服务提供商会拒绝调用。在本地工作时,可以使用/etc/hosts在本地计算机上伪.
OAuthOpenID区别
weixin_34068198的博客
11-12 190
OAuthOpenID都是开放的Web第三方登录标准,都使用了HTTP重定向的方式,也都可以集中管理登录有效期。 它们不同于,OpenID的目标在于使你只用一次登录动作就可以登录多个网站。当你想要登录一个使用了OpenID服务的网站时,它会将你重定向至提供OpenID服务的网站,如果你已经登录过,会自动重定向回来,此时你已经是登录状态。 OAuth的目...
第三方登录----OAuthOpenID
松鼠豪的坚果
09-07 1568
现在很多网站都可以用第三方的账号登陆,比如,现在我要登录淘宝买东西,而如果我没有淘宝的账号,我也可以用微博的账号登录,这个微博账号就是第三方账号了。这个三方登录的实现主要包含OpenIDOAuth技术。 OpenID强调验证 authentication,验证就是说“我”是不是(微博用户) OAuth强调授权 authorization。,授权是说“淘宝”可不可以用我的微博账号,而可不可...
09 | 实战:利用OAuth 2.0实现一个OpenID Connect用户身份认证协议
qq_37756660的博客
12-01 1235
在一些较大的、已经具备身份认证服务的平台上,你可能并没有发现 OIDC 的描述,但大可不必纠结。有时候,我们可能会困惑于,到底是先有 OIDC 这样的标准,还是先有类似微信登录这样的身份认证实现方式呢?其实,要理解这层先后关系,我们可以拿设计模式来举例。当你想设计一个较为松耦合、可扩展的系统时,即使没有接触过设计模式,通过不断地尝试修改后,也会得出一个逐渐符合了设计模式那样“味道”的代码架构思路。理解 OIDC 解决身份认证问题的思路,也是同样的道理。
OAuthOAuthOpenID区别和联系
如果你真的想做一件事,你一定会找到方法; 如果你不想做一件事,你一定会找到借口。
10-19 505
OAuth(开放授权)是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用。 OAuth协议[color=red]为用户资源的授权提供了一个安全的、开放而又简易的标准[/color]。与以往的授权方式不同之处是OAuth授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密...
了解第三方认证方式:OAuthOpenID
xihuanyuye的博客
07-20 5746
一、常规认证 网站的常规认证方式,就是需要用户在登陆的时候输入用户名密码,再根据该用户具体对应的权限,查看该用户可以访问的目录及可以进行的功能。 在java编程领域,该方面的功能是可以通过shiro或者Spring Security来完成。都可以对用户进行较为详细的权限控制。 二、第三方认证 OAuthOpenID可以归类为第三方认证方式,及对该用户的认证通过非本服务进行认证。下面具体解...
OAuth 2.0 与 OpenID Connect 协议的完整指南
paolei的笔记
07-02 2888
本文由 Haseeb Anwar 发表在 medium,经原作者授权由 InfoQ 中文站翻译并分享。 我们都在网站或者手机应用中见过“谷歌登陆”和“绑定 Facebook“这样的按钮。如果你点击这个按钮,就会有一个窗口弹出并显示“这个应用想要访问你的公共个人主页、通讯录……“,同时它会询问你是否授权。概括而言,这就是 OAuth。对于每个软件工程师、安全专家甚至是黑客,理解这些协议都是非常重要的。 前言 本文是一篇关于 OAuth 2.0 与 OpenID Connect 协议的完整指南,这
OAuthOpenID的区别和联系
abcengineer的专栏
05-05 1024
OAuth(开放授权)是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用。 OAuth协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAuth授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此
授权协议OAuth 2.0之通过OIDC实现SSO
wang0907的博客
04-24 999
OIDC的全称是openid connect,和OAuth2.0一样,也是属于协议和规范的范畴。OAuth2.0是一种授权协议,即规定了的内容。而OIDCOAuth2.0的超集,不仅规定了,还定义了的内容,即OIDC不仅是授权协议,也是一种认证协议。实际上,OIDC也正是在OAuth2.0的基础上做了扩展,从而支持了身份认证的功能,如下图:1:受保护资源的拥有者一般是我们自己2:受保护的资源一般就是HTTP的接口形式的API,当然也可以是其他形式3:三方软件一般是希望拿到受保护资源的角色。
OpenID Connect详解
zou8944的博客
12-26 9549
OpenID Connect 1.0是建立在OAuth 2.0上的一个身份验证机制,它允许客户端通过授权服务对用户进行认证并获取简单的用户信息。 前置知识:读者需要了解OAuth2.0的授权码模式和隐藏模式两种工作流程,要了解JWT、JWE、JWS等概念。这在我的前两篇文章都有详细讲解 概览 名词解释 OP:OpenID Provider,即OAuth2.0中的授权服务,用于对用户鉴权 RP:Relying Part,依赖方,即OAuth2.0中的客户端,它从OP除获取对用户的鉴权和用户信息
(精华)2020年9月25日 微服务 单点登录和身份认证(OpenID Connect)
热门推荐
时光隧道
09-06 45万+
if (!(Test-Path -Path $PROFILE)) { New-Item -ItemType File -Path $PROFILE -Force }
OpenID ConnectOAuth
07-28
OpenID ConnectOIDC)和OAuth是两个相关但不同的协议。 OAuth是一个授权协议,用于授权第三方应用代表用户访问受保护的资源。它允许用户向第三方应用授予有限的访问权限,而无需共享其凭据(如用户名和密码)。OAuth的主要目标是确保用户的隐私和安全。 OpenID Connect是基于OAuth 2.0的身份验证协议,***

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Charles@TechBlog

您的鼓励是我创作的最大动力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值