如何通过 OIDC 协议实现单点登录?

最新推荐文章于 2024-07-28 18:05:42 发布
最新推荐文章于 2024-07-28 18:05:42 发布
阅读量5.1k 收藏 17
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010987134/article/details/105136499
版权
本文介绍了如何通过 OIDC(OpenID Connect)协议实现单点登录(SSO)。首先,解释了单点登录的含义及其重要性,接着详细阐述了如何创建用户目录和理解 OIDC 协议。然后,通过实例展示了如何架设自己的 OIDC Provider,包括配置文件的修改和启动。此外,讲解了OIDC授权码模式,以及如何在Web应用中实现单点登录的过程。最后讨论了登录态管理,包括只退出某个应用而不退出其他应用、同时退出所有应用和不维护各个应用与用户的登录状态的情况。文章提供了相关工具和代码示例,并提到了使用 Authing 作为单点登录解决方案的选项。
摘要由CSDN通过智能技术生成

什么是单点登录

我们通过一个例子来说明,假设有一所大学,内部有两个系统,一个是邮箱系统,一个是课表查询系统。现在想实现这样的效果:在邮箱系统中登录一遍,然后此时进入课表系统的网站,无需再次登录,课表网站系统直接跳转到个人课表页面,反之亦然。比较专业的定义如下:

单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。 SSO 的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。

为什么要实现单点登录

单点登录的意义在于能够在不同的系统中统一账号、统一登录。用户不必在每个系统中都进行注册、登录,只需要使用一个统一的账号,登录一次,就可以访问所有系统。

通过 OIDC 协议实现单点登录

创建自己的用户目录

用户目录这个词很贴切,你的系统的总用户表就像一本书一样,书的封皮上写着“所有用户”四个字。打开第一页,就是目录,里面列满了用户的名字,翻到对应的页码就能看到这个人的邮箱,手机号,生日信息等等。无论你开发多少个应用,要确保你有一份这些应用所有用户信息的 truth source。所有的注册、认证、注销都要到你的用户目录中进行增加、查询、删除操作。你要做的就是创建一个中央数据表,专门用于存储用户信息,不论这个用户是来自 A 应用、B 应用还是 C 应用。

什么是 OIDC 协议

The OIDC family of specs and supporting specs

OIDC 的全称是 OpenID Connect,是一个基于 OAuth 2.0 的轻量级认证 + 授权协议,是 OAuth 2.0 的超集。它规定了其他应用,例如你开发的应用 A(XX 邮件系统),应用 B(XX 聊天系统),应用 C(XX 文档系统),如何到你的中央数据表中取出用户数据,约定了交互方式、安全规范等,确保了你的用户能够在访问所有应用时,只需登录一遍,而不是反反复复地输入密码,而且遵循这些规范,你的用户认证环节会很安全。

架设自己的 OIDC Provider

什么是 OIDC Provider 呢?我来举一个例子:你经常见到一些网站的登录页面上有「使用 Github 登录」、「使用 Google 登录」这样的按钮。要想集成这样的功能,你要先去 Github 那里注册一个 OAuth App,填写一些资料,然后 Github 分配给你一对 id 和 key。 此时 Github 扮演的角色就是 OIDC Provider,你要做的就是把 Github 的这种角色的行为,搬到你自己的服务器来。

在 Github 上面搜索 OIDC Provider 会有很多结果:

JS:https://github.com/panva/node-oidc-provider

Golang:https://github.com/dexidp/dex

Python:https://github.com/juanifioren/django-oidc-provider

...

不再一一列举,你需要选择适合你的编程语言的 OIDC Provider 包,然后让它在你的服务器上运行起来。本文使用 JS 语言的 node-oidc-provider。

示例代码 Github

可以在 Github 找到本文示例代码:

https://github.com/Authing/implement-oidc-sso-demo.git

创建文件夹

我们首先创建一个文件夹,用于存放代码:

$ mkdir demo
$ cd demo

克隆仓库

然后我们将 https://github.com/panva/node-oidc-provider.git 仓库 clone 到本地

$ git clone https://github.com/panva/node-oidc-provider.git

安装依赖

$ cd node-oidc-provider
$ npm install

在 OIDC Provider 申请一个 Client

上一步讲到,Github 会分配给你一对 id 和 key,这一步其实就是你在 Github 申请了一个 Client。那么如何向我们自己的服务器上的 OIDC Provider 申请一对这样的 id 和 key 呢?

node-oidc-provider 举例,最快的获得一个 Client 的方法就是将 OIDC Client 所需的元数据直接写入 node-oidc-provider 的配置文件里面。

https://i-blog.csdnimg.cn/blog_migrate/ad174a62e6dedcad99f908e65dde8c88.png

Wait wait wait,跨度有些大,这两者之间有什么关系?首先我们看,在 Github 上填写应用信息,然后提交,会发送一个 HTTP 请求到 Github 服务器。Github 服务器会生成一对 id 和 key,还会把它们与你的应用信息存储到 Github 自己的数据库里。所以,我们将 OIDC Client 所需的元数据直接写入到配置文件,可以理解成,我们在自己的数据库里手动插入了一条数据,为自己指定了一对 id 和 key 还有其他的一些 OIDC Client 信息。

修改配置文件

进入 node-oidc-provider 项目下的 example 文件夹:

$ cd ./e
最低0.47元/天 解锁文章
龙归科技
关注
html5实现单点登录,用 Authing 10分钟实现单点登录(SSO)
weixin_27252001的博客
06-08 629
单点登录(Single Sign On),简称为SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。实现单点登录开始之前如果你不了解用户池、单点登录和认证授权,建议先阅读基础概念。预备知识基本的 HTML 和 CSS 知识中级 JavaScript 技能所需工具你喜欢的文本编辑器可以在本地运行的 Web 服务器(比...
基于OIDC的SSO单点登录
focus:Follow One Cause Until Success
07-05 2461
SSO单点登录:是指用户的一次性鉴权登录。即用户在身份验证服务器服务器登录一次后,在身份验证服务器的注册服务中即可自动完成登录验证的功能。简单来说,就是在有多个系统时,只需要登录一次,其他服务即可自动感知获取到用户的登录状态。单点登录的主要核心是身份验证服务器。在身份验证服务器中注册了用户的具体信息和可信应用。在其他服务获取登录状态时,是通过相关协议直接访问身份验证服务器获取用户的登录状态和身份完成登录的授权操作的。
【登录知多少,OIDC 大家都在用,一文速通流程 】
最新发布
qq_38428433的博客
07-28 758
OIDC(OpenID Connect)是一个基于 OAuth 2.0 的身份验证协议,用于在应用程序之间安全地传递身份信息。OIDC提供了 身份验证,单点登录(SSO)等功能。用户请求登录• 用户通过客户端(应用程序)请求登录。• 客户端将用户重定向到授权服务器的登录页面。用户认证• 用户在授权服务器的登录页面输入凭据进行认证。•授权服务器验证用户身份后,生成一个授权码,并将用户重定向回客户端。交换授权码• 客户端接收到授权码后,向三方平台后端发送请求。• 三方平台后端 在拿着授权码。
基于OIDC实现单点登录SSO、第三方登录
热门推荐
u012324798的博客
04-20 1万+
OIDC联合身份认证机制背景概念1 OIDC身份认证协议2 基于OIDC实现SSO2.1 统一登录2.1.1 流程2.1.2 RP相关接口2.1.3 OP相关接口2.2 统一登出2.2.1 流程2.2.2 RP需要在向OP注册时提供2.2.3 RP相关接口2.2.4 OP相关接口2.3 持续监视2.3.1 流程2.3.2 RP相关接口2.3.3 OP相关接口3 在OIDC的SSO中集成第三方登录(...
基于IdentityServer4的OIDC实现单点登录(SSO)原理简析
dotNET跨平台
08-24 1962
# 写在前面IdentityServer4的学习断断续续,兜兜转转,走了不少弯路,也花了不少时间。可能是因为没有阅读源码,也没有特别系统的学习资料,相关文章很多园子里的大佬都有涉及,...
基于flask-oidcOIDC协议授权码模式单点登录SSO实现
focus:Follow One Cause Until Success
07-05 2021
作为中间参数,并不携带我们希望获得的用户信息,无法完成登录操作。flask-oidc无法自动根据。时完成授权认证操作。认证服务器执行完后,返回应用系统回调地址。获取toekn,所以我们需要手动发起请求获取token令牌。关于SSO单点登录OIDC协议、授权码模式等相关概念详见。方法进行编码,否则认证系统可能无法识别参数信息。装饰器可以根据当前的参数信息,自动前往配置的。装饰器,认证系统会返回防止跨域的。携带应用信息作为参数请求。其中,请求参数应设置为。在授权码模式下,调用。
单点登录协议有哪些?CAS、OAuth、OIDC、SAML有何异同?
nidengxia的博客
10-22 6195
单点登录实现中,系统之间的协议对接是非常重要的一环,一般涉及的标准协议类型有 CAS、OAuth、OpenID Connect、SAML,本文将对四种主流 SSO协议进行概述性的介绍,并比较其异同,读者亦可按图索骥、厘清关键概念。 一、认证与授权的区别 在介绍具体协议之前,有必要先说明“认证(Authentication)”和“授权(Authorization)”的区别。 认证(Authentication)即确认该用户的身份是他所声明的那个人; 授权(Authorization).
记录 SpringBoot+Shiro+JWT+Pac4j Oidc前端分离接入一体化中心实现单点登录与注销
weixin_42765596的博客
02-28 2389
一.情况说明: 前后端分离项目,前端Vue.js,后端SpringBoot.作为业务系统,需要接入甲方客户的一体化用户统一认证中心平台(基于OpenID Connect 1.0标准协议实现单点登录服务)实现单点登录与注销. 二.一体化认证文档说明: 标识提供程序(一体化用户中心)为身份认证服务及权限控制服务提供用户及组织架构基础数据,它通过组织架构同步服务直接与人力资源系统对接,始终保持与人力资...
【揭秘OIDC协议Java安全认证框架的核心基石】 从初识到精通,带你领略OIDC协议的奥秘,告别SSO的迷茫与困惑
世界上并没有完美的程序,但是我们并不因此而沮丧,因为写程序就是一个不断追求完美的过程。
02-05 1187
前面的两篇文章已经介绍了Saml协议和OAuth2.0协议,接下来我们介绍另外一个的认证协议:OpenID Connect(OIDC)。
Python库 | oidcservice-0.6.4.tar.gz
03-09
python库。 资源全名:oidcservice-0.6.4.tar.gz
sso-dashboard:SSO仪表板的python flask实现OIDC用于身份验证,消息总线用于警报管道
05-14
Mozilla-IAM单一登录仪表板 SSO仪表板的python flask实现OIDC用于身份验证,消息总线用于警报管道。 上面是今天存在的仪表板原型。 屏幕截图将随着仪表板UI的发展而更新。 贡献者 安德鲁·克鲁格[:andrew] 该项目使用的项目 烧瓶 雷迪斯 金佳 烧瓶上证所 独角兽 MUI-CSS框架 码头工人 特征 服务器端事件安全警报 控制用户看到的应用程序 用户个人资料编辑器 全球安全警报 IHaveBeenPwned集成 用户警报确认/升级 认证流程 所有身份验证均对auth0执行。 由于应用程序的性质,仅在“扩展配置文件”完成之前,这将仅限于Mozilla LDAP登录。 授权流程 这个应用程式在技术上不提供授权。 但是,它确实使用规则语法检查文件,以确定用户仪表板中应包含哪些应用程序。 规则文件存在于dashboard / data / apps.yml中。
单点登录:SAML、OAuth2、OIDC 的区别与联系
Lvlht的博客
04-24 1735
进一步的,同一个Client在不同Application Server可能也有不同的权限,这时候Authentication Server就需要包含Authorization Server(授权服务)功能。举个例子,我登录CSDN的时候,有个选项是是否使用微信登录,如果使用微信登录,就会从微信服务获取用户信息并登录。OIDC的核心在于授权过程中,一并提供用户的身份认证信息ID-Token(使用JWT来包装)给到第三方客户端,OP通常还提供了GetUserInfo的接口,用于获取用户更完整的信息。
单点登录常用协议原理和流程
小安安
09-12 1470
单点登录常用协议原理和流程
如何基于Security实现OIDC单点登录
chinaherolts2008的博客
09-28 390
java基础视频教程Java视频教程|xin3721自学网李天生老师主讲java视频教程,适合入门及进阶者。https://www.xin3721.com/eschool/Javaxin3721/ 一、说明 本文主要是给大家介绍OIDC的核心概念以及如何通过对Spring Security的授权码模式进行扩展来实现 OIDC单点登录OIDC是 OpenID Connect 的简称,OIDC=(Identity, Authentication) + OAuth 2.0。它在OAuth...
OAuth2/OIDC
sun007700的专栏
05-23 239
GitHub - zorn-v/nextcloud-social-login Running behind Identity-aware proxy? - ℹ️ Support - Nextcloud community I’m looking to configure Nextcloud behindPomerium3, an identity aware proxy. Through the web interface, it’s all good: I authenticate using..
vue项目使用oidc-client实现单点登陆
qq_43340606的博客
07-06 4755
1. 安装oidc-client 2. 单点登录所需配置项:oidc.js 3. 我们需要在路由钩子页面增加判断,如果没有token,则重定向到服务器进行单点登录 这个是我自己的项目这样用router钩子来判断权限,如果你们没有用到也没关系,忽略掉router,直接执行else中的内容,如果没有token,页面会跳转到服务器进行登录3、下面是登录完成后会回到我们系统中的操作 4、执行回调后,跳转到home页面(系统首页),至此整体流程结束。 源码地址: https://git
OIDC 单点登录 流程
08-04
OIDC(OpenID Connect)单点登录流程如下: 1. 用户访问应用,应用检测到用户未登录。 2. 应用重定向用户到 OIDC Provider(身份提供者)的登录页面。 3. 用户在 OIDC Provider 的登录页面输入用户名和密码进行身份验证。 4. OIDC Provider 验证用户身份成功后,生成一个临时授权码(一个随机字符串)。 5. OIDC Provider 将临时授权码重定向回应用的业务回调地址,并将授权码作为参数传递。 6. 应用收到授权码后,使用授权码向 OIDC Provider 发送请求,请求换取访问令牌(access token)和身份令牌(id token)。 7. OIDC Provider 验证授权码的有效性,并向应用返回访问令牌和身份令牌。 8. 应用使用访问令牌和身份令牌来访问 OIDC Provider 的资源接口,获取用户的信息。 9. 应用使用用户信息进行用户认证和授权,完成用户登录过程。 需要注意的是,以上流程是基于 OIDC 协议的标准流程,具体实现可能会有一些差异。此外,OIDC Provider 的登录状态会在用户登录成功后进行维护,如果用户已经登录过,OIDC Provider 会直接重定向回应用,并携带临时授权码,省去用户再次输入用户名和密码的步骤。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值