[认证授权] 4.OIDC(OpenId Connect)身份认证授权(核心部分)

最新推荐文章于 2024-01-26 10:20:10 发布
最新推荐文章于 2024-01-26 10:20:10 发布
阅读量1.7k 收藏 24
点赞数 2
文章标签: json javascript 后端 ViewUI

1 什么是OIDC?

看一下官方的介绍(http://openid.net/connect/):

OpenID Connect 1.0 is a simple identity layer on top of the OAuth 2.0 protocol. It allows Clients to verify the identity of the End-User based on the authentication performed by an Authorization Server, as well as to obtain basic profile information about the End-User in an interoperable and REST-like manner.

OpenID Connect allows clients of all types, including Web-based, mobile, and JavaScript clients, to request and receive information about authenticated sessions and end-users. The specification suite is extensible, allowing participants to use optional features such as encryption of identity data, discovery of OpenID Providers, and session management, when it makes sense for them.

简单来说:OIDC是OpenID Connect的简称,OIDC=(Identity, Authentication) + OAuth 2.0。它在OAuth2上构建了一个身份层,是一个基于OAuth2协议的身份认证标准协议。我们都知道OAuth2是一个授权协议,它无法提供完善的身份认证功能(关于这一点请参考[认证授权] 3.基于OAuth2的认证(译)),OIDC使用OAuth2的授权服务器来为第三方客户端提供用户的身份认证,并把对应的身份认证信息传递给客户端,且可以适用于各种类型的客户端(比如服务端应用,移动APP,JS应用),且完全兼容OAuth2,也就是说你搭建了一个OIDC的服务后,也可以当作一个OAuth2的服务来用。应用场景如图:

OIDC已经有很多的企业在使用,比如Google的账号认证授权体系Microsoft的账号体系也部署了OIDC,当然这些企业有的也是OIDC背后的推动者。除了这些之外,有很多各个语言版本的开源服务端组件,客户端组件等等(http://openid.net/developers/certified/);

理解OIDC的前提是需要理解OAuth2,这里假设大家都有OAuth2的基础,不清楚的可以先阅读本系列的前几篇OAuth2的文章。

2 OIDC 协议族

OIDC本身是有多个规范构成,其中包含一个核心的规范,多个可选支持的规范来提供扩展支持,简单的来看一下:

  1. Core:必选。定义OIDC的核心功能,在OAuth 2.0之上构建身份认证,以及如何使用Claims来传递用户的信息。
  2. Discovery:可选。发现服务,使客户端可以动态的获取OIDC服务相关的元数据描述信息(比如支持那些规范,接口地址是什么等等)。
  3. Dynamic Registration :可选。动态注册服务,使客户端可以动态的注册到OIDC的OP(这个缩写后面会解释)。
  4. OAuth 2.0 Multiple Response Types :可选。针对OAuth2的扩展,提供几个新的response_type。
  5. OAuth 2.0 Form Post Response Mode:可选。针对OAuth2的扩展,OAuth2回传信息给客户端是通过URL的querystring和fragment这两种方式,这个扩展标准提供了一基于form表单的形式把数据post给客户端的机制。
  6. Session Management :可选。Session管理,用于规范OIDC服务如何管理Session信息。
最低0.47元/天 解锁文章
weixin_34268753
关注
  • 2
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
OIDC协议
飞鸟慕鱼的博客
09-30 3064
1.ID Token是jwt,包含一组关于身份认证会话的声明(claim) 2.access token在oidc中也能使用,伴随着id token一起被发送到客户端,但是这不是必要的,因为id token已经包含了用户信息,access token只是为了和OAuth兼容。 3.oidc新增了用户端点,可以获取用户的个人信息 4.oidc规定客户端可以简单的发现授权服务器的所有端点 主要...
授权服务器:Spring Boot OAuth 2.0和OpenID Connect身份提供者授权服务器
01-29
授权服务器兼容OAuth 2.0和OpenID ConnectOIDC)的授权服务器,仅用于演示目的,可用作OAuth2 / OIDC研讨会的一部分。目标此授权服务器应... 作为开源免费提供支持学习OAuth2 / OpenID Connect的努力(自学或作为...
在 Kubernetes 中使用 Keycloak OIDC Provider 对用户进行身份验证
cr7258的博客
04-06 3712
API Server 作为 Kubernetes 的网关,是用户访问和管理资源对象的入口。对于每个访问请求, API Server 都需要对访问者的合法性进行检查,包括身份验证、权限验证等等。Kubernetes 支持多种身份验证的方式,本文将对 OpenID Connect 认证进行介绍。 1 OpenID ConnectOIDC)介绍 OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三方应用访问他们存储在其他服务提供者上的信息
frp使用oidc认证和搭建
第九系艾文
09-05 2497
frp使用oidc,oidc搭建授权
OIDC协议 — 理解OIDC身份认证授权
qq_38658567的博客
09-13 923
本篇博客介绍了OIDC的发现服务,OAuth2的扩展规范。OIDC其本身是一个完全开放的标准,而且兼容众多的已有的IDP(身份提供商),比如基于SAML的、基于WS-Federation的等等已有的身份认证系统,都可以作为OIDC的OP存在。OIDC使得身份认证可以作为一个服务存在。OIDC可以很方便的实现SSO(跨顶级域)。OIDC兼容OAuth2,可以使用Access Token控制受保护的API资源。OIDC可以兼容众多的IDP作为OIDC的OP来使用。
OIDC的介绍
最新发布
weixin_65692248的博客
01-26 1620
OIDC协议的基本介绍,以及三种流程。
OIDC
玩高雅的大神のブログ
07-06 123
https://www.cnblogs.com/linianhui/category/1121078.html
drf-oidc-auth:Django REST框架的OpenID Connect身份验证
05-15
Django Rest Framework的OpenID Connect身份验证 该软件包包含一种身份验证机制,用于使用从OpenID Connect获得的令牌对REST API的用户进行身份验证。 当前,它仅支持JWT和Bearer令牌。 JWT令牌将针对OpenID连接...
liferay-oidc-plugin:Liferay插件,启用OpenID Connect身份验证
05-26
该插件使用OpenID Connect协议使Liferay使用外部身份验证源,例如社交网络和SSO系统。 它。 介绍 OpenID Connect协议将身份验证委托给所谓的提供程序,并为请求的应用程序(在我们的示例中为Liferay)提供访问令牌...
kubelogin:Kubernetes OpenID Connect身份验证的kubectl插件(kubectl oidc-login)
02-03
这是使用Google Identity Platform进行Kubernetes身份验证的示例: Kubelogin设计为可作为。 运行kubectl时,kubelogin打开浏览器,您可以登录到提供程序。 然后kubelogin从提供者那里获得一个令牌,并且kubectl...
oidc:Go的OpenID Connect SDK(客户端和服务器)
02-05
Go的OpenID Connect SDK(客户端和服务器) 该项目处于Alpha状态。 它可以与AND继续中断,直到发布1.0.0版 它是什么 该项目是针对Go编写的OIDC (开放ID连接)标准的易于使用的客户端和服务器实现。 只要有可能,我们都会尝试重用/扩展现有的软件包,例如OAuth2 for Go 。 如何使用它 待定 产品特点 代码流 隐式流 混合流 发现 PKCE 代币兑换 TLS 智威汤逊简介 接力党 是 是 还没 是 是 部分的 还没 是 起源党 是 是 还没 是 是 还没 还没 是 资源资源 为了您的方便,您可以在下面找到相关的标准链接。 受支持的Go版本 版 支
oidc-demo
03-02
oidc.demo OIDCServer:认证授权服务器,是基于IdentityServer4的Web项目。访问地址: OIDCProtectedResources:受保护的资源,也是一个Web项目。访问地址: OIDCClient:客户端,也是一个Web项目。访问地址: 这个分支演示OAuth2.0的Authorization Code授权模式。 需要做的配置 在hosts文件增加 127.0.0.1 server.oidc.test 127.0.0.1 api.oidc.test 127.0.0.1 client.oidc.test 信任根证书cert/myun-ca-root.crt 。 运行说明 启动OIDCServer项目。 启动OIDCProtectedResources项目。 启动OIDCClient项目。 浏览器访问OIDCClient项目 //client.oidc
oidc-rs:Node.js的OpenID Connect资源服务器身份验证
05-07
OpenID Connect资源服务器身份验证 Node.js的OpenID Connect资源服务器身份验证 特征 OAuth 2.0承载令牌使用情况(RFC 6750) JWT访问令牌验证(规范待定) 发行者发现(OpenID Connect发现) 动态密钥旋转...
OAuth2.0协议扩展——OIDC认证协议的基本概念
码农小胖哥
08-02 1190
前言在上一文里我们通过一个例子回顾了OAuth 2.0的流程,同时指出了OAuth 2.0的局限性:客户端无法认定资源拥有者就是正确的拥护者,虽然市面上的OAuth 2.0能够保证授权的安...
干货 | 使用 OIDC 进行身份验证的工作原理
12-19 593
之后,用户需要通过某种保密的途径悄悄告诉 IdP 自己的私密信息,IdP 确认无误后,就可以将当前正在进行请求的用户和用户目录中的身份信息对应起来,如此一来,用户在 IdP 上的认证过程就完成了。也正因如此,密码模式中让用户确认权限是没有意义的,SP 获取的一定是用户资源的完全访问权限。《身份云动态 | 认证授权,都离不开的 OIDC 协议》一文中提到,OIDC 诞生的场景是 —— 被授权的主体不再是用户,而是「想要访问用户资源的第三者」,而颁发权限的主体也不再是管理员,而是用户自己。
Openid Connect(OIDC)
goddessblessme的博客
04-19 1082
它在OAuth2上构建了一个身份层,是一个基于OAuth2协议的身份认证标准协议。解决认证问题。OIDC在OAuth2的access_token的基础上增加了身份认证信息, 通过公钥私钥配合校验获取身份等其他信息—– 即idToken。
七、OIDC
weixin_30800987的博客
06-19 506
在 OAuth中,这些授权被称为scope。OpenID-Connect也有自己特殊的scope--openid,它必须在第一次请求“身份鉴别服务器”(Identity Provider,简称IDP)时发送过去。 转载于:https://www.cnblogs.com/fger/p/11049363.html...
OIDC的学习
liuyancainiao的博客
02-19 3724
OIDC(OpenID Connect),下一代的身份认证授权协议;当前发布版本1.0; OIDC是基于OAuth2+OpenID整合的新的认证授权协议;OAuth2是一个授权(authorization)的开放协议, 在全世界得到广泛使用,但在实际使用中,OAuth2只解决了授权问题,没有实现认证部分,往往需要添加额外的API来实现认证;而OpenID呢,是一个认证(authenticatio...
OpenID Connect和OAuth
07-28
OpenID ConnectOIDC)和OAuth是两个相关但不同的协议。 OAuth是一个授权协议,用于授权第三方应用代表用户访问受保护的资源。它允许用户向第三方应用授予有限的访问权限,而无需共享其凭据(如用户名和密码)。OAuth的主要目标是确保用户的隐私和安全。 OpenID Connect是基于OAuth 2.0的身份验证协议,***

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值