结合OIDC和Cookie实现SSO

最新推荐文章于 2024-06-18 09:38:25 发布
最新推荐文章于 2024-06-18 09:38:25 发布
阅读量390 收藏
点赞数
分类专栏: go 后端 计算机网络 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45747080/article/details/131924612
版权
后端 同时被 3 个专栏收录
24 篇文章 0 订阅
订阅专栏
go
12 篇文章 0 订阅
订阅专栏
计算机网络
3 篇文章 0 订阅
订阅专栏

结合OIDC和Cookie实现SSO

1 什么是SSO

SSO(Single Sign On,即单点登录),允许用户在多个网站或者应用程序之间使用一组凭据(例如用户名和密码)进行身份验证。用户只需要在登录一个网站或者应用程序后,就可以访问其他网站或者应用程序,而无需再输入凭据。

Tips

重点是在多个网站之间使用一组凭据,并且用户只需要登录一个网站或应用程序,其他网站或者应用程序就无需再输入凭据了。

目前实现SSO的协议或标准很多,如SAML、OAuth、LADP和OIDC等,都能实现SSO。

2 什么是OIDC

OIDC是一个协议,简单来讲就是OIDC规定有一个中心的Provider能够认证用户的凭据并且授权,即会返回AccessToken和IDToken等给受信任的Client,因为IDToken是JWT格式且包含登录用户的唯一标识,所以Client能够轻松地解析IDToken获取用户信息甚至存储到自身的数据库中。

这里选用OIDC的原因是Client能够很好地解析IDToken获取用户信息

这里的OIDC Provider的实现是golang的dex库:https://dexidp.io/docs/getting-started/

3 什么是Cookie

Cookie是一种在Web服务器和Web浏览器之间传递的小型文本。当访问Web应用程序或者浏览器时,Web服务器可能通过设置Cookie将一些信息存储到用户的浏览器上。接着Web浏览器在发送HTTP请求时,会将该网站相关的Cookie一并发送给Web服务器,Web服务器可以非常轻松的读取这些Cookie。

Cookie通常由一个名称(Name)、一个值(Value)、一个过期时间(Expires)和一个域名(Domain)组成。名称和值指定了Cookie中存储的信息,过期时间指定了Cookie的有效期,域名指定了允许访问该Cookie的域名。

这里选用Cookie的原因是利用了Cookie的域的特性:如果Cookie的域是.example.com,那么a.example.comb.example.com都能够访问到这个域。

所以我如果在A网站的服务器中设置Cookie的域为.example.com,那么在B网站中可以使用到该Cookie,反之亦然。

Tips

如果想要结合OIDC和Cookie实现SSO,那么网站的域名应该拥有相同的父域名。

4 需求

现在学校有一个课程系统(lessons)和书籍系统(books),要求就是用户在要求登录一次后,访问另一系统就不需要再登录了。

5 实现

使用OIDC Provider进行用户认证和授权,返回AccessToken和IDToken给Client,并且Client要求浏览器使用Cookie保存AccessToken和IDToken,并且域设置为课程系统和书籍系统都能访问到的域。在访问课程系统和书籍系统对应的服务器的时候读取存放在Cookie中的token并且访问后端。

要点:

  • Client从OIDC Provider处获得token,获取到token保存到Cookie中
  • Client在接受来自浏览器的请求时读取Cookie获得token,验证token并获取用户个人信息。

6 Books Client

获得token并写入Cookie

const (
	OidcProvider = "http://sso.college.edu:5556/dex"
	ClientId     = "books-college"
	ClientSecret = "books-college-secret"
	RedirectURL  = "http://books.college.edu:8000/callback"
)

func Login() http.HandlerFunc {
	return func(w http.ResponseWriter, r *http.Request) {
		ctx := r.Context()

		provider, err := oidc.NewProvider(ctx, OidcProvider)
		if err != nil {
			http.Error(w, fmt.Sprintf("init oidc provider failed: %s", err), http.StatusInternalServerError)
			return
		}

		oauth2Config := Oauth2Config(provider)
		url := oauth2Config.AuthCodeURL("state")
		http.Redirect(w, r, url, http.StatusFound)
	}
}

func LoginCallback() http.HandlerFunc {
	return func(w http.ResponseWriter, r *http.Request) {
		ctx := r.Context()

		provider, err := oidc.NewProvider(ctx, OidcProvider)
		if err != nil {
			http.Error(w, fmt.Sprintf("init oidc provider failed: %s", err), http.StatusInternalServerError)
			return
		}
		config := Oauth2Config(provider)
		oauth2Token, err := config.Exchange(ctx, r.URL.Query().Get("code"))
		if err != nil {
			http.Error(w, fmt.Sprintf("exchange token with server failed: %s", err), http.StatusUnauthorized)
			return
		}

		rawIDToken, ok := oauth2Token.Extra("id_token").(string)
		if !ok {
			http.Error(w, fmt.Sprintf("get rawIDToken with token failed"), http.StatusUnauthorized)
			return
		}
		idTokenVerifier := provider.Verifier(&oidc.Config{ClientID: ClientId})
		idToken, err := idTokenVerifier.Verify(ctx, rawIDToken)
		if err != nil {
			http.Error(w, fmt.Sprintf("verify IDToken with oidc provider failed: %s", err), http.StatusUnauthorized)
			return
		}

		setTokenIntoCookie(w, oauth2Token)
		bytes, _ := json.Marshal(idToken)
		w.Write(bytes)
	}
}

将token写入Cookie中并设置合适的域

这样books.college.edulessons.college.edu都能访问到该Cookie

const (
	CookieDomain = ".college.edu"
)

func setTokenIntoCookie(w http.ResponseWriter, oauth2Token *oauth2.Token) {
	rawIDToken, _ := oauth2Token.Extra("id_token").(string)
	cookies := []*http.Cookie{
		{Name: "access_token", Value: oauth2Token.AccessToken},
		{Name: "token_type", Value: oauth2Token.TokenType},
		{Name: "refresh_token", Value: oauth2Token.RefreshToken},
		{Name: "expiry", Value: oauth2Token.Expiry.Format(time.RFC3339)},
		{Name: "id_token", Value: rawIDToken},
	}
	for _, c := range cookies {
		c.Domain = CookieDomain
		c.Path = "/"
		c.MaxAge = 60 * 5 // 5 minutes
		c.HttpOnly = true
		http.SetCookie(w, c)
	}
}

访问接口时,读取来自Cookie中的token

如果读取token失败(Cookie中不存在token,token过期等)则要求用户重新登录

func MyBook() http.HandlerFunc {
	return func(w http.ResponseWriter, r *http.Request) {
		ctx := r.Context()

		ui, err := auth.GetUserInfo(ctx, r)
		if err != nil {
			http.Redirect(w, r, "/login", http.StatusFound)
			return
		}

		msg := fmt.Sprintf("These are your books, %s!", ui.Name)
		w.Write([]byte(msg))
	}
}

验证token是否合法,并解析token获得用户的个人信息

func GetUserInfo(ctx context.Context, r *http.Request) (*userinfo.UserInfo, error) {
	token, err := getTokenFromCookie(r)
	if err != nil {
		return nil, fmt.Errorf("get userinfo failed: %v", err)
	}

	provider, err := oidc.NewProvider(ctx, OidcProvider)
	if err != nil {
		return nil, fmt.Errorf("initialize provider failed: %v", err)
	}
	idTokenVerifier := provider.Verifier(&oidc.Config{SkipClientIDCheck: true})
	idToken, err := idTokenVerifier.Verify(ctx, token)
	if err != nil {
		return nil, fmt.Errorf("verify rawIDToken failed: %v", err)
	}

	var ui *userinfo.UserInfo
	if err = idToken.Claims(&ui); err != nil {
		return nil, fmt.Errorf("parse idToken failed: %v", err)
	}

	return ui, nil
}

func getTokenFromCookie(r *http.Request) (string, error) {
	rawExpiry, err := r.Cookie("expiry")
	if err != nil {
		return "", fmt.Errorf("get token from cookie failed: %v", err)
	}
	expiry, err := time.Parse(time.RFC3339, rawExpiry.Value)
	if err != nil {
		return "", fmt.Errorf("parse expiry which is from cookie failed: %v", err)
	}
	if expiry.Before(time.Now()) {
		return "", fmt.Errorf("token is expired")
	}

	rawIDToken, err := r.Cookie("id_token")
	if err != nil {
		return "", fmt.Errorf("get token from cookie failed: %v", err)
	}

	return rawIDToken.Value, nil
}

7 Lessons Client

课程系统和书籍系统同理。

8 演示测试

  1. 配置host模拟真实环境

    ## sso-demo
127.0.0.1	books.college.edu
127.0.0.1	lessons.college.edu
127.0.0.1	sso.college.edu

  2. 配置dex的config-dev.yaml,将books和lessons加入staticClients

    staticClients:
- id: books-college
  secret: books-college-secret
  name: 'Books College'
  redirectURIs:
      - 'http://books.college.edu:8000/callback'
- id: lessons-college
  secret: lessons-college-secret
  name: 'Lessons College'
  redirectURIs:
      - 'http://lessons.college.edu:8001/callback'

  3. 首次访问books:http://books.college.edu:8000/,要求登录

    在这里插入图片描述

  4. 登录完成

    在这里插入图片描述

  5. 访问lessons:http://lessons.college.edu:8001/,成功访问并且不需要登录

    在这里插入图片描述

  6. 再次访问books

    在这里插入图片描述

至此,实现了只需要在某一系统中登录过一次,在另外的系统就不需要再次登录直接就能进行访问了。

缺陷

  • 依赖Cookie

    显而易见,该实现依赖于Cookie中存储token,并且在访问Web服务器的时候携带Cookie。在无法使用Cookie或浏览器禁用Cookie的时候就需要使用其他的方法了,如URL参数或者Web Storage等。

  • 父域名必须相同

    由于浏览器限制,只有父域名相同才能使用同一以.开头的域的Cookie。

  • 没有记录登录状态

    以上代码没有在OIDC Provider处记录用户的登录状态,即如果用户在某一系统中退出了账号,但是只要其他任何地方的浏览器Cookie中存有该token,仍然可以使用token进行访问,所以用户其实并没有完全退出,只是在某一个浏览器中退出了而已。解决办法是在OIDC Provider中添加对用户的登录状态管理即可。

演示代码

https://github.com/FanGaoXS/sso-demo

F3nGaoXS
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何通过 OIDC 协议实现单点登录?
Authing 身份云
03-27 5019
什么是单点登录 我们通过一个例子来说明,假设有一所大学,内部有两个系统,一个是邮箱系统,一个是课表查询系统。现在想实现这样的效果:在邮箱系统中登录一遍,然后此时进入课表系统的网站,无需再次登录,课表网站系统直接跳转到个人课表页面,反之亦然。比较专业的定义如下: 单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。 SSO 的定义是在多个应用系统中...
Golang 与OneAuth IDaaS快速集成身份验证
OneAuth身份云
12-28 405
如何使⽤ OneAuth 向 Golang 应⽤添加⽤户身份验证 ⽤户身份验证是 Web 应⽤程序中的⼀项基本功能,因此⼈们可以创建和访问⾃⼰的帐户,但不幸的是,身份验证并不总是很容易设置,可能经常错误地实现登录和注销功能。本教程将介绍如何使⽤OneAuth 的统⼀身份验证服务,对多达 1,000 个活动⽤户帐户免费使⽤,它能让我们在 Golang 项⽬中轻松处理⽤户数据。 本节介绍如何使⽤Golang快速与OneAuth集成,将OneAuth作为WEB应⽤程序的⽤户存储库并实现⽤户登录。 主要步骤:
探索安全的OAuth 2.0与OpenID Connect服务:oidc-provider
gitblog_00081的博客
05-11 452
探索安全的OAuth 2.0与OpenID Connect服务:oidc-provider 项目地址:https://gitcode.com/panva/node-oidc-provider oidc-provider是一个强大的开源库,它为你的Node.js应用提供了OAuth 2.0授权服务器功能,并且完全支持OpenID Connect标准。这个库不仅遵循了一系列相关的RFC规范,还具备许多...
推荐使用oidc-provider:构建高效OpenID Connect身份验证服务
最新发布
gitblog_00002的博客
06-18 329
推荐使用oidc-provider:构建高效OpenID Connect身份验证服务 项目地址:https://gitcode.com/panva/node-oidc-provider-example 项目介绍 oidc-provider 是一个强大的Node.js库,专门用于构建符合OpenID Connect协议的认证提供者(Identity Provider)。通过这个项目,开发者可以轻松地...
oidc:Go的OpenID Connect SDK(客户端和服务器)
02-05
Go的OpenID Connect SDK(客户端和服务器) 该项目处于Alpha状态。 它可以与AND继续中断,直到发布1.0.0版 它是什么 该项目是针对Go编写的OIDC (开放ID连接)标准的易于使用的客户端和服务器实现。 只要有可能,我们都会尝试重用/扩展现有的软件包,例如OAuth2 for Go 。 如何使用它 待定 产品特点 代码流 隐式流 混合流 发现 PKCE 代币兑换 TLS 智威汤逊简介 接力党 是 是 还没 是 是 部分的 还没 是 起源党 是 是 还没 是 是 还没 还没 是 资源资源 为了您的方便,您可以在下面找到相关的标准链接。 受支持的Go版本 版 支
搭建OIDC Provider,以Golang为例
weixin_45747080的博客
07-21 1244
具体要不要在访问资源的时候检查token是否过期可以根据需求,也可以在前端采用各种策略(如轮询)来检查用户token是否过期,过期即要求用户重新登录,此时的access_token就会是最新的了,访问资源的时候就不需要再重新刷新access_token了。在Github注册然后登录用户后,我们就能在我的Github里创建和查看自己的Repository(代码仓库,以下简称“Repo”),同时我有两个App,一个叫Gitee,Gitlab,这两个App实现了能够访问用Github登录的用户的Repo。
蓝鲸cmdb二次开发接入oidc登录
hello_250的博客
04-21 567
想使用bk-cmdb,但是全家桶才支持统一登录,单独的bk-cmdb是不支持的。所以基于蓝鲸的代码自己增加oidc登录逻辑。
[认证授权] 4.OIDC(OpenId Connect)身份认证授权(核心部分)
weixin_34268753的博客
05-30 1800
1 什么是OIDC? 看一下官方的介绍(http://openid.net/connect/): OpenID Connect 1.0 is a simple identity layer on top of the OAuth 2.0 protocol. It allows Clients to verify the identity of the End-User based on t...
单点登录系统(SSO)技术实现剖析.PDF
10-21
单点登录系统(Single Sign-On,简称SSO)是一种网络...综上所述,SSO技术通过统一的认证机制,实现了跨系统的一站式登录体验,但在实际应用中需要谨慎处理安全性和复杂性问题,以确保用户数据的安全和系统的稳定性。
Laravel开发-laravel-discourse-sso
08-28
在Laravel和Discourse之间实现SSO,我们需要完成以下步骤: 1. **设置Discourse SSO**:首先,你需要在Discourse论坛的管理设置中启用SSO功能,并生成相关的公钥和私钥。这些密钥将用于在Laravel和Discourse之间...
SSO.zip_软件设计/软件工程_HTML_
08-11
2. **协议支持**:常见的SSO协议有SAML(Security Assertion Markup Language)和OAuth/OIDC(Open Authorization/OpenID Connect)。SAML主要用于企业级应用,而OAuth/OIDC常用于开放API和社交媒体平台。 3. **...
node-oidc-provider-example:使用oidc-provider启动并运行OpenID Connect Provider实例的分步方法
05-06
oidc-provider的示例设置 通过遵循此示例,您将在Heroku上设置实例。 先决条件 节点^ 12.19.0 || ^ 14.15.0 安装了heroku cli( which heroku ) 认证的heroku cli( heroku whoami ) get 吉特 从开始。 NB oidc提供者绝不限于仅在heroku上运行或仅使用展示的选项运行。 用户交互也仅旨在显示如何提供和维护这些交互。 诸如注册,密码重置和安全措施(如csrf,速率限制,验证码)之类的功能全在您身上,并不属于oidc-provider提供的协议实现的一部分。 支持的部署包括将OP安装到现有的nodejs应用程序,例如,connect,express,fastify,hapi,koa或nest。 使用集群模式运行的服务器分布在haproxy,nginx,ELB之后的多个主机上,或者直接公
OAUTH2.0+OpenLDAP技术框架
01-09
OAUTH2.0+OpenLDAP技术框架,及适用场景,综合价值等PPT文档,可修改!!!
Go-Auth是采用Golang开发Web模块化认证系统
08-13
Auth是采用Golang开发Web模块化认证系统,它提供了不同的认证后端来加速您的开发。
node-oidc-provider:适用于Node.js的OpenID Certified:trade_mark:OAuth 2.0授权服务器实施
02-04
oidc提供者 oidc-provider是具有并已实现许多其他功能和标准的OAuth 2.0授权服务器。 目录 实施的规格和功能 以下规范由oidc-provider实现。 请注意,并非默认情况下所有功能都已启用,请查看配置部分以了解如何启用它们。 和 授权(授权代码流,隐式流,混合流) UserInfo端点和ID令牌,包括签名和加密 通过值或引用传递请求对象,包括签名和加密 公共和成对主题标识符类型 脱机访问/刷新令牌授予 客户证书授予 客户端身份验证client_secret_jwt和private_key_jwt方法 和 以下规范草案由oidc-provider实现。 更
跨域名和应用程序登陆
11-19
2. OAuth2.0与OIDC的扩展:为了适应跨平台的需求,OAuth2.0和OpenID Connect也可以扩展应用于移动和桌面应用,通过授权码流(Authorization Code Flow)和设备授权流(Device Authorization Flow)等方式实现。...
单点登录源码实例下载SSODemo.rar
02-11
- **基于OAuth/OIDC(Open Authorization/OpenID Connect)的SSO**:OAuth是授权协议,OIDC是在OAuth基础上添加了身份验证功能。用户在IDP认证后,会获得一个访问令牌,SP可以通过这个令牌获取用户信息。 3. **SSO...
理解 OIDC 与 OAuth2.0 协议
乌龟的专栏
02-22 875
理解 OIDC 与 OAuth2.0 协议
在 Kubernetes 中使用 Keycloak OIDC Provider 对用户进行身份验证
cr7258的博客
04-06 3737
API Server 作为 Kubernetes 的网关,是用户访问和管理资源对象的入口。对于每个访问请求, API Server 都需要对访问者的合法性进行检查,包括身份验证、权限验证等等。Kubernetes 支持多种身份验证的方式,本文将对 OpenID Connect 认证进行介绍。 1 OpenID Connect(OIDC)介绍 OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三方应用访问他们存储在其他服务提供者上的信息
OIDC和OAuth2.0区别
05-29
OIDC(OpenID Connect)和OAuth2.0都是互联网上的身份验证和授权框架,它们有一些相似之处,但也有不同之处。 OAuth 2.0是一个授权框架,用于允许用户授权第三方应用程序访问他们的受保护资源,例如用户数据。它通过授权访问令牌来实现此目的。OAuth 2.0不提供任何身份验证机制,它只提供了授权机制。 OIDC在OAuth 2.0的基础上,提供了一个身份验证层。它使用JWT(JSON Web Tokens)来传递身份验证信息。OIDC通过将身份验证与授权进行结合来提供更安全的身份验证机制。 因此,OAuth 2.0主要关注授权,而OIDC主要关注身份验证和授权。在使用OAuth 2.0时,用户必须另外进行身份验证,而在使用OIDC时,身份验证和授权都被合并到一个流程中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值