【权限】OpenID Connect协议入门

最新推荐文章于 2024-06-04 12:30:00 发布
最新推荐文章于 2024-06-04 12:30:00 发布
阅读量666 收藏 1
点赞数
分类专栏: WEB 文章标签: oauth2 oepnid java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/thesprit/article/details/112648425
版权

OpenID Connect协议入门

一、简介

OpenID Connect是基于OAuth 2.0规范的可互操作的身份验证协议。它使用简单的REST/JSON消息流来实现,和之前任何一种身份认证协议相比,开发者可以轻松集成。
OpenID Connect允许开发者验证跨网站和应用的用户,而无需拥有管理密码文件。OpenID Connect允许所有类型的客户,包括基于浏览器的JavaScript和本地移动应用程序,启动登录流动和接收可验证断言对登录用户的身份

二、基础

简单来说,OIDC是一种安全机制,用于应用连接到身份认证服务器获取用户信息,并将这些信息以安全可靠的方法返回给应用。
OpenID 和 OAuth协议常常被一起提及,但是二者是有区别的:

  • OpenID是Authentication,即认证,对用户身份进行认证,判断其身份是否有效,也就是让网站知道“你是你所声称的那个用户”
  • OAuth是Authorization,即授权,在已知用户身份合法的情况下,经用户授权来允许某些操作,也就是让网站知道“你能被允许做那些事情”
    由此可知,授权要在认证之后进行,只有确定用户身份之后才能授权

身份验证 + OAuth2.0 = OpenID Connect

三、流程

OAuth2提供了Access Token来解决授权第三方客户端访问受保护资源的问题;相似的,OIDC在这个基础上提供了ID Token来解决第三方客户端识别用户身份的问题。OIDC的核心在于在OAuth2的授权流程中,一并提供用户身份认证信息给到第三方客户端,ID token使用JWT格式来包装,得益于JWT的自包含性,紧凑性以及防篡改机制,使得ID-Token可以安全的传递给第三方客户端程序并且容易被验证。

可知,OIDC遵循OAuth协议流程,在申请Access-Token的同时,也返回了ID-Token来验证用户身份。
在这里插入图片描述

  1. 客户端发送认证请求给认证服务;
  2. 终端用户在认证页面进行授权确认(可选);
  3. 认证服务对认证请求进行验证,发送ID Token给客户端;
  4. 客户端向业务请求,请求中携带ID Token;
  5. 业务服务验证ID Token是否合法后返回业务应答
四、JWT(JSON Web Token)格式数据

认证服务返回的ID Token需要严格遵守JWT(JSON Web Token)的定义,下面是JWT(JSON Web Token)的定义细节:

1、iss:必须。Issuer Identifier,认证服务的唯一标识,一个区分大小写的https URL,不包含query和fragment组件。

2、sub:必须。Subject Identifier,iss提供的终端用户的标识,在iss范围内唯一,最长为255个ASCII个字符,区分大小写。

3、aud:必须。Audience(s),标识ID Token的受众,必须包含OAuth2的client_id,分大小写的字符串数组。

4、exp:必须。Expiration time,超过此时间的ID Token会作废。

5、iat:必须。Issued At Time,JWT的构建的时间。

6、auth_time:AuthenticationTime,终端用户完成认证的时间。

7、nonce:发送认证请求的时候提供的随机字符串,用来减缓重放攻击,也可以用来关联客户端Session。如果nonce存在,客户端必须验证nonce。

8、acr:可选。Authentication Context Class Reference,表示一个认证上下文引用值,可以用来标识认证上下文类。

9、amr:可选。Authentication Methods References,表示一组认证方法。

10、azp:可选。Authorized party,结合aud使用。只有在被认证的一方和受众(aud)不一致时才使用此值,一般情况下很少使用。

例子如:

{
	"iss": "https://1.2.3.4:8443/auth/realms/kubernetes",
	"sub": "547cea22-fc8a-4315-bdf2-6c92592a6e7c",
	"aud": "kubernetes",
	"exp": 1525158711,
	"iat": 1525158411,
	"auth_time": 0,
	"nonce": "n-0S6_WzA2Mj",
	"acr": "1",
	"azp": "kubernetes",
	"nbf": 0,
	"typ": "ID",
	"session_state": "150df80e-92a1-4b0c-a5c5-8c858eb5a848",
	"userId": "123456",
	"preferred_username": "theone",
	"given_name": "the",
	"family_name": "one",
	"email": "theone@mycorp.com"
}
thesprit
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
IdentityServer4专题之五:OpenID Connect及其Client Credentials流程模式
weixin_30539625的博客
05-15 198
1.基于概念 OAuth2.0与身份认证协议的角色映射 OpenID Connect 这个协议是2014颁发的,基于OAuth2.0,在这个协议中,ID Token会和Access Token一起发回客户端应用,它还提供了一个UserInfo这个端点,通过此端点可以获取用户信息,还提供了一级标识身份的scopes和claims(profile、email、address、phone)...
授权服务器:Spring Boot OAuth 2.0和OpenID Connect身份提供者授权服务器
01-29
授权服务器 兼容OAuth 2.0和OpenID Connect(OIDC)的授权服务器,仅用于演示目的,可用作OAuth2 / OIDC研讨会的一部分。 目标 此授权服务器应... 作为开源免费提供 支持学习OAuth2 / OpenID Connect的努力(自学或作为研讨会的一部分) 提供一种简单的方法来设置和运行它(即无需查阅大量文档) 支持OAuth 2.x和OpenID Connect的最新规范和草案 作为容器和支持容器提供 重要: 该项目的目的是用于演示以及作为培训/讲习班的一部分。 还没有准备好用于生产!! 如果您正在寻找生产级身份访问管理解决方案,请查阅的列表。 功能(支持) OAuth 2.0授权流程: (+ ) 签名的 不透明令牌+ 简单的用户访问管理API 简单用户访问管理Web UI(只读访问) OAuth2 / OIDC客户端API的管理 OAuth2 / OIDC客户端Web UI的管理(只读)J2 功能(不支持) OAuth 2.0授权流程: (由于,因此不受故意支持) 功能(计划中) 路线图 2020年底: -强制性OAuth 2
【微服务安全】OpenID Connect 简介:现代应用程序的身份验证
最新发布
qq_44005305的博客
06-04 730
OpenID Connect (OIDC) 是一个建立在 OAuth 2.0之上的开放身份验证协议。它简化了应用程序以一种标准化和可互操作的方式验证用户身份并获取其基本个人资料信息的方式。可以将其视为应用程序“知道你是谁”的一种安全方式,而无需你创建单独的帐户或透露你的密码。您访问使用 OIDC 的网站或应用程序。代替创建新帐户,您可以单击“使用 [提供商] 登录”按钮,其中 [提供商] 可以是Google、Facebook 或其他身份提供商 (OP)。
.net MVC4, framework4.5 框架使用aad登录 遇到的坑
weixin_45457293的博客
05-15 469
到这项目就基本可以使用aad登录了 , 也可以根据需求使用联合登录 先跳aad登录 再跳 ADFS登录, 这块代码上不用调整了, 在AAD上配置好就可以了!进入应用, 选择身份验证 > 添加url > 令牌选择 ID令牌 > 项目类型根据项目需要选择 > 保存。解决方案我 是把http访问改为https 就可以了。解决方案, 在startup.cs 添加这段代码。先上官方文档, 我也是根据官方文档来做踩得坑!登录的方法和注销可以直接用官方给的。然后把官方的代码复制进去就可以了。因为最低支持4.5版本。
Spring Security和OpenID Connect
new_ord的博客
08-01 3012
OpenID Connect 是一个开放标准,由 OpenID 基金会于 2014 年 2 月发布。它定义了一种使用 OAuth 2.0 执行用户身份认证的互通方式。OpenID Connect 直接基于 OAuth 2.0 构建,并保持与它兼容。
OIDC core第1-3章
weixin_44731875的博客
10-13 964
OIDC(openID Connect) OIDC是基于OAuth2+OpenID整合的新的认证授权协议;OAuth2是一个授权(authorization)的开放协议, 在全世界得到广泛使用,但在实际使用中,OAuth2只解决了授权问题,没有实现认证部分,往往需要添加额外的API来实现认证;而OpenID呢,是一个认证(authentication )的协议,二者在实际使用过程中都有其局限性; OAuth2只在颁发code或者token时对用户身份进行了认证,之后都是以授权为基准对资源进行访问,但是如果在
入门教程:.NET开源OpenID Connect 和OAuth解决方案IdentityServer v3 MVC认证与授权(四)...
weixin_30546933的博客
05-29 394
本教程将搭建一个最小能够运行的IdentityServer。为简单起见,我们将identityserver和客户端放在同一Web应用程序-这可能不会是一个很现实的情况下,但可以让你不太复杂的开始。 完整的源代码可以在这里找到。 Part 1 - MVCMVC认证与授权 在第一部分中我们将创建一个简单的MVC应用程序并添加认证通过identityserver它。然后,我们将有一个更仔细的看c...
IdentityServer4实现.Net Core API接口权限认证(快速入门)
10-15
IdentityServer4是一个基于ASP.NET Core构建的开源身份和授权框架,它实现了OpenID Connect和OAuth 2.0标准。在.Net Core API接口权限认证中,IdentityServer4扮演着核心角色,确保只有经过验证的用户才能访问受保护...
ASP.NET 完全入门
03-16
ASP.NET提供了强大的身份验证和授权机制,包括Windows身份验证、Forms身份验证、OAuth和OpenID Connect等。这些机制可以帮助开发者实现用户登录、权限控制和安全访问。 七、数据库集成 ASP.NET可以方便地与SQL ...
openunison-qs-kubernetes:Kubernetes快速入门
05-19
进入Kubernetes并使用ADFS使用kubectl的简短视频OpenUnison的快速入门旨在为Kubernetes提供身份管理中心,该中心将: 提供用于SAML2,多个LDAP目录,添加合规性确认等的OpenID Connect Bridge 自助服务门户,...
ASP.NET安全编程入门经典.pdf
12-10
1. **身份验证与授权**:了解如何使用ASP.NET的身份验证机制,如Windows身份验证、Forms身份验证、以及基于令牌的身份验证(如OAuth和OpenID Connect)。同时,学习如何设置角色基础的授权,控制用户对不同页面和...
spring-oauth-server:Spring框架上的授权服务器和OpenID提供程序
05-09
Spring框架上的授权服务器和OpenID提供程序 概述 这是授权服务器和支持和的OpenID提供程序的实现。 该实现是使用 ,JAX-RS 2.0 API和库。 JAX-RS是RESTful Web服务的Java API 。 JAX-RS 2.0 API已通过进行了标准化,并且已包含在Java EE 7中。另一方面,authlete-java-jaxrs库是一个开放源代码库,它为开发人员提供了用于实现授权服务器和资源的实用程序类。服务器。 authlete-java-jaxrs依次使用库,该库是另一个与进行通信的开源库。 此实现是无数据库的。 这意味着您不必具有存储授权数据(例如,访问令牌),授权服务器本身的设置以及客户端应用程序的设置的数据库服务器。 这可以通过将用作后端服务来实现。 阅读以获取有关该体系结构的详细信息。 可以在使用Authlete作为后端服务的资源服务器上使用
OpenID-Connect-Java-Spring-Server:Spring平台上Java中的OpenID Connect参考实现
02-23
MITREid连接 该项目包含在Spring平台上使用Java的经过认证的OpenID Connect参考实现,其中包括正常运行的, ,和通用。 该服务器可用作OpenID Connect身份提供程序以及通用OAuth 2.0授权服务器。 可以找到有关该项目的更多信息: 您可以在mitreid-connect@mit.edu上找到该项目的邮件列表,并提供。 该项目的作者和主要贡献者包括: 根据Apache 2.0许可获得许可,有关详细信息,请参阅LICENSE.txt 。
spasso-example:示例项目演示了使用Keycloak和Spring Boot资源服务器进行基于浏览器的OpenID Connect身份验证
05-14
单页应用程序单点登录示例 该存储库提供了一个示例项目,以演示基于浏览器的OpenID Connect身份验证过程,该过程涉及单个页面应用程序,外部身份提供程序和受保护的资源服务器。 单页应用程序直接在浏览器中执行授权代码流,并从身份提供者获取令牌。 然后,它使用访问令牌向资源服务器的API发出授权请求,该请求使用OpenID Connect服务器提供的JWK集验证令牌。 二手技术 在此示例项目中,我们使用以下技术: 资源服务器的 + + 单页应用程序的 + 作为身份提供者和OpenID Connect服务器 先决条件 Java Development Kit 10(将​​环境变量JAVA_HOME设置为安装目录) Node.js 8.10.x(或更高版本),NPM 5.6.0(或更高版本) 钥匙披风4.0.0 免费本地端口:4200、8080、8081 入门 密钥斗篷设置
ASP.NET 完全入门书籍
08-18
8. **身份验证和授权**: ASP.NET提供了一套强大的安全机制,包括Windows身份验证、Forms身份验证、OAuth、OpenID Connect等,用于管理用户登录和权限控制。 9. **部署与发布**: 学习如何在IIS(Internet ...
MVC 微信开发获取用户OpenID
a57571737的博客
08-11 1104
第一次开发微信版网页,对最重要的获取微信OpenId,特此记录下来
ASP.NET MVC 支持微信OpenId登陆
weixin_30640291的博客
09-30 371
  之前微信的网站都是使用的是identity来做用户登录的,用户都是要每次输入用户账号和密码。然后identity把用户信息保存在本地一段时间。现在是需要当用户在登录的时候绑定当前的微信账户的OpenId,通过OpenId来获取用户信息实现自动登录。   在用户进入Login这个Action之前,获取到OpenId,判断该OpenId是否绑定用户信息,如果绑定则自动登陆,并返回redirect...
C# MVC获取微信openId
技术分享博客
01-27 1662
控制器端 此项目使用的是.Net FrameWork4.5、MVC5 微信登录界面 public ActionResult WX() { return View(); } 绑定微信时调用的方法 public ActionResult WXBind() { string appid = "你的appId"; return Redirect("https://op
MVC使用OAuth和OpenID的外部登录
BOLSB的博客
06-20 231
从以往来看,大多数Wb应用程序都是基于本地的账户数据库来处理授权问题。传统的ASP.NET Membership系统便是一个大家所熟知的例子,新用户向系统提供用户名、密码和其他需要的信息来注册账号。应用程序把这些用户信息添加到本地的成员数据库,然后利用数据库中的用户信息验证用户登录。虽然传统的成员资格适用于大多数Wb应用程序,但是它也带有一些严重的负面影响:维护包含有用户信息和加密口令的本地数据库是一项重大责任。现在听到那些涉及成千上万个用户账户信息(通常包含未加密的密码)的重大安全漏洞,已经是司空见惯的事
现代应用中OAuth 2.0、OpenID Connect与SAML 2.0身份管理详解
Demystifying OAuth 2.0, OpenID Connect, and SAML 2.0》由Yvonne Wilson和Abhishek Hingnikar合著,深入探讨了OAuth 2.0、OpenID Connect和SAML 2.0这三种主流的身份验证和授权协议。OAuth 2.0是用于授权第三方...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值