【微服务安全】OpenID Connect 简介:现代应用程序的身份验证

已于 2024-02-18 20:25:25 修改
阅读量1.1k 收藏 11
点赞数 14
分类专栏: 架构 文章标签: 安全 服务器 运维
于 2024-02-16 20:44:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/surfirst/article/details/136132227
版权

OpenID Connect (OIDC) 是一个建立在 OAuth 2.0 之上的开放身份验证协议。它简化了应用程序以一种标准化和可互操作的方式验证用户身份并获取其基本个人资料信息的方式。可以将其视为应用程序“知道你是谁”的一种安全方式,而无需你创建单独的帐户或透露你的密码。

以下是 OIDC 的工作原理:

1. 用户发起登录: 您访问使用 OIDC 的网站或应用程序。代替创建新帐户,您可以单击“使用 [提供商] 登录”按钮,其中 [提供商] 可以是 Google、Facebook 或其他身份提供商 (OP)。

2. 重定向到 OP: 应用程序将您重定向到您选择的身份提供商的登录页面。

3. 用户身份验证: 您使用您的凭据登录到您的 OP 帐户。

4. 同意和信息共享: 如果成功,OP 会要求您同意将您的一些信息(个人资料数据、电子邮件等)与应用程序共享。您可以决定分享哪些信息。

5. OP 将令牌发回应用程序: 如果您授予同意,OP 会向应用程序发送两个令牌:一个包含您的基本信息的 ID 令牌 和一个用于访问您在 OP 平台上数据的 访问令牌(可选)。

6. 应用程序验证和使用信息: 应用程序验证 ID 令牌的签名和颁发者 (OP) 以确保其真实性。根据收到的信息,应用程序可以将您识别为已登录用户,并可能授予您访问特定资源或功能的权限。

OpenID Connect 的好处:

  • 简化的用户体验: 无需单独的帐户和重新输入密码。
  • 增强安全性: 使用安全令牌和 HTTPS 通信进行数据交换。
  • 提高可移植性: 用户可以使用其来自任何 OP 的现有身份登录任何符合 OIDC 的应用程序。
  • 灵活性: 应用程序可以根据其需求请求特定的用户信息。

OpenID Connect 的用例:

  • 单点登录 (SSO):允许用户一次登录并无缝访问多个应用程序。
  • API 授权:使应用程序能够安全地访问其他平台上的用户数据。
  • 社交登录:允许用户出于特定目的与应用程序共享他们的社交信息。

安全注意事项:

  • 信任 OP: 确保 OP 拥有强大的安全实践,并且只共享必要的信息。
  • 管理用户同意: 仔细审查并接受您与应用程序共享的信息。
  • 保持令牌安全: 应用程序应安全存储和使用令牌,以防止未经授权的访问。
surfirst
关注
  • 14
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
[认证授权] 4.OIDC(OpenId Connect)身份认证授权(核心部分)
weixin_34268753的博客
05-30 1800
1 什么是OIDC? 看一下官方的介绍(http://openid.net/connect/): OpenID Connect 1.0 is a simple identity layer on top of the OAuth 2.0 protocol. It allows Clients to verify the identity of the End-User based on t...
OpenID Connect 是什么?
weixin_33971130的博客
07-25 3050
一、OpenID Connect的概念 1、OpenID Connect 是什么? OpenID Connect 是一套基于 OAuth 2.0 协议的轻量级规范,提供通过 API 进行身份交互的框架。 OpenID Connect 使用简单的REST / JSON消息,开发者可以轻松集成。 OpenID Connect 允许所有类型的客户,包括基于浏览器的JavaScript和本机移动应用程序。...
OpenID Connect:OAuth 2.0协议之上的简单身份层
weixin_30532973的博客
09-09 285
OpenID Connect是什么?OpenID Connect(目前版本是1.0)是OAuth 2.0协议(可参考本人此篇:OAuth 2.0 / RCF6749 协议解读)之上的简单身份层,用 API 进行身份交互的框架,允许客户端根据授权服务器的认证结果最终确认用户的身份,以及获取基本的用户信息;它支持包括Web、移动、JavaScript在内的所有客户端类型;它是可扩展的协议,允许你使...
(精华)2020年9月25日 微服务 单点登录和身份认证(OpenID Connect)
热门推荐
时光隧道
09-06 45万+
if (!(Test-Path -Path $PROFILE)) { New-Item -ItemType File -Path $PROFILE -Force }
OpenID Connect
最新发布
gitblog_00073的博客
03-16 697
OpenID Connect OpenID Connect是一个简单且开放的认证协议,它允许任何网站或应用程序通过HTTP/HTTPS与身份提供者进行安全身份验证交互。这是一种基于OAuth 2.0协议的扩展,可以将身份验证过程简化为一个简单的步骤。 什么是OpenID ConnectOpenID Connect是一种用于实现Web应用、移动应用和API的安全身份验证的标准协议。该协议在OA...
spring-boot-security-oauth2-google:使用OAuth 2.0和OpenID Connect微服务向Google进行身份验证并向用户获取信息
01-30
使用OAuth 2.0和OpenID Connect微服务在Google中进行身份验证并向用户获取信息。 技术栈: Maven; Sprint Boot; Spring网 Spring安全; OAuth2身份验证; Angular JS,HTML,CSS。 1.要在Google App中注册您...
run-aspnet-identityserver4:使用独立的Identity Server 4并通过Ocelot API Gateway进行支持来保护微服务。 通过在IdentityServer4中使用OAuth 2和OpenID Connect保护我们的ASP.NET Web MVC和API应用程序。 使用令牌保护您的Web应用程序和API,使用声明,身份验证和授权中间件以及应用策略
01-29
使用令牌保护Web应用程序和API,使用声明,身份验证和授权中间件以及应用策略等。 电影API 首先,我们将开发Movies.API项目,并使用IdentityServer4 OAuth 2.0实现保护此API资源。 从IdentityServer4生成带有...
WSG-MSClients:WSG-用于客户端和身份验证微服务
05-15
总之,WSG-MSClients是一个基于Java的微服务应用,专注于客户端管理和安全身份验证。它利用微服务架构的灵活性和可扩展性,以及Spring Boot和Spring Security的强大功能,为开发安全、可靠的分布式系统提供了坚实的...
SecureMicroservice:使用OAuth,OpenID Connect和Ocelot API网关使用IdentityServer4保护.NET 5微服务
03-09
它提供了身份验证、授权和API访问控制等功能,可以用来保护微服务和Web应用。 4. .NET 5微服务:.NET 5是Microsoft推出的跨平台开发框架,适用于构建微服务微服务是一种设计原则,将应用程序拆分为一组小的、独立...
openid_connect:OpenID Connect服务器和客户端库
05-13
OpenIDConnect OpenID Connect服务器和客户端库 安装 gem install openid_connect 资源 在GitHub上查看源代码( ) 在GitHub上报告问题( ) 订阅更新信息( ) 例子 提供者¶ ↑ 在Heroku上运行( connect-op.herokuapp.com ) 来源GitHub( github.com/nov/openid_connect_sample ) 简单版本( github.com/nov/openid_connect_sample2 ) 依赖方¶ ↑ 在Heroku上运行( connect-rp.herokuapp.com ) GitHub上的源代码( github.com/nov/openid_connect_sample_rp ) 以下还有使用此gem的OpenID Foudat
spasso-example:示例项目演示了使用Keycloak和Spring Boot资源服务器进行基于浏览器的OpenID Connect身份验证
05-14
单页应用程序单点登录示例 该存储库提供了一个示例项目,以演示基于浏览器的OpenID Connect身份验证过程,该过程涉及单个页面应用程序,外部身份提供程序和受保护的资源服务器。 单页应用程序直接在浏览器中执行授权代码流,并从身份提供者获取令牌。 然后,它使用访问令牌向资源服务器的API发出授权请求,该请求使用OpenID Connect服务器提供的JWK集验证令牌。 二手技术 在此示例项目中,我们使用以下技术: 资源服务器的 + + 单页应用程序的 + 作为身份提供者和OpenID Connect服务器 先决条件 Java Development Kit 10(将​​环境变量JAVA_HOME设置为安装目录) Node.js 8.10.x(或更高版本),NPM 5.6.0(或更高版本) 钥匙披风4.0.0 免费本地端口:4200、8080、8081 入门 密钥斗篷设置
generic-authentication-server.js:用于用户身份验证的通用微服务
06-05
在IT行业中,构建一个安全、高效的身份验证系统是至关重要的,尤其在如今的微服务架构中。`generic-authentication-server.js` 是一个专为用户身份验证设计的通用微服务,它利用JavaScript语言来实现。这个服务的...
Openid Connect(OIDC)
goddessblessme的博客
04-19 1091
它在OAuth2上构建了一个身份层,是一个基于OAuth2协议的身份认证标准协议。解决认证问题。OIDC在OAuth2的access_token的基础上增加了身份认证信息, 通过公钥私钥配合校验获取身份等其他信息—– 即idToken。
什么是OpenID Connect
分享前端开发工程师的一些日常生活、前端知识点、职业发展、对一些问题的看法、感悟等等
07-07 746
区分认证和授权 上文我们所知,OAuth 解决了代理授权的问题,但是它没有提供一个认证用户身份的标准方法。你可以这样认为: OAuth2.0 用于授权 OpenID Connect 用于认证 如果你无法区分这些术语,则以下是它们之间的区别: 认证(Authentication)是确保通信实体是其所声称的实体。 授权(Authorization)是验证通信实体是否有权访问资源的过程。 换言之,认证关注的是你是谁,授权关注的是你有什么权限。 OpenID Connect OpenID Connect
欢迎来到OpenID Connect
sunkooshining的专栏
03-11 4958
什么是OpenID Connect OpenID Connect1.0是一个位于OAuth2.0之上的简单的身份层。其允许客户端通过授权服务器验证终端用户身份,通过互操作性和REST-like性获取终端客户的基本概要信息。 OpenID连接允许所有类型的客户,包括网络、手机、和JavaScript客户,请求和接收经过身份验证的会
OpenID Connect详解
zou8944的博客
12-26 9573
OpenID Connect 1.0是建立在OAuth 2.0上的一个身份验证机制,它允许客户端通过授权服务对用户进行认证并获取简单的用户信息。 前置知识:读者需要了解OAuth2.0的授权码模式和隐藏模式两种工作流程,要了解JWT、JWE、JWS等概念。这在我的前两篇文章都有详细讲解 概览 名词解释 OP:OpenID Provider,即OAuth2.0中的授权服务,用于对用户鉴权 RP:Relying Part,依赖方,即OAuth2.0中的客户端,它从OP除获取对用户的鉴权和用户信息
SSO的通用标准OpenID Connect
程序那些事
12-15 1万+
OpenID Connect简称为OIDC,已成为Internet上单点登录和身份管理的通用标准。 它在OAuth2上构建了一个身份层,是一个基于OAuth2协议的身份认证标准协议。 OAuth2实际上只做了授权,而OpenID Connect在授权的基础上又加上了认证。 OIDC的优点是:简单的基于JSON的身份令牌(JWT),并且完全兼容OAuth2协议。 今天我们将会介绍一下OIDC的具体原理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

surfirst

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值