OIDC的介绍

已于 2024-03-04 12:49:19 修改
阅读量1.6k 收藏 25
点赞数 16
文章标签: 后端
于 2024-01-26 10:20:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_65692248/article/details/135859821
版权
本文详细介绍了OIDC(OpenIDConnect)如何在OAuth2.0基础上增强身份验证,包括ID令牌的作用,以及AuthorizationCodeFlow、ImplicitFlow和HybridFlow三种流程的工作原理和适用场景。强调了在不同安全需求下选择合适的身份验证方法的重要性。
摘要由CSDN通过智能技术生成

一、OIDC概述

1.1 OpenID Connect简介

  • 身份验证层:OIDC 在 OAuth 2.0 的基础上添加了一个身份验证层。它是一个标准化的身份层,使用OAuth 2.0协议来安全地认证用户身份。

  • 用途:主要用于身份验证,即确认用户的身份并向第三方应用提供关于用户的基本信息。

  • ID 令牌:引入了ID令牌(ID Token),这是一个JSON Web Token(JWT),包含了用户的身份信息。

  • 基于标准的协议:OIDC是一个开放标准,这意味着任何开发人员或组织都可以使用它来实现跨应用的安全身份验证。

  • 灵活性和可扩展性:OIDC支持多种流程(如授权码流程、隐式流程和混合流程),这使得它可以适应各种应用场景,从简单的网页登录到复杂的企业级应用。

1.2 OAuth 2.0 概述

  • 授权框架:OAuth 2.0 是一个广泛使用的授权框架,允许第三方应用在用户授权的情况下访问其在另一服务上的资源。

  • 用途:主要用于授权,即允许应用访问用户在另一个服务(例如Facebook或Google)上的数据。

  • 流程:OAuth 2.0 提供了多种授权流程(如授权码流程、客户端凭据流程),适用于不同类型的客户端(例如网页应用、移动应用)。

1.3 OIDC和OAuth2.0的区别

  1. 基于OAuth 2.0:OIDC 是在OAuth 2.0之上构建的。这意味着所有使用OAuth 2.0的应用理论上也可以实现OIDC。

  2. 目的:OAuth 2.0 专注于授权,允许应用访问用户在其他服务上的资源。而OIDC扩展了这一功能,提供了用户身份验证的机制。

  3. 兼容性:因为OIDC是对OAuth 2.0的扩展,所以在实现OIDC的同时,它自然支持OAuth 2.0的所有功能。实现OIDC的系统自动兼容OAuth 2.0。

  4. ID令牌 vs 访问令牌:在OAuth 2.0中,客户端接收访问令牌(Access Token)来访问用户数据。而在OIDC中,客户端除了获得访问令牌,还会得到ID令牌,后者包含了用户的身份信息。

二、OIDC的工作原理

官方介绍:​编辑How OpenID Connect Works - OpenID Foundation

三、协议流程

1.流程类型

流程由授权请求中包含的response_type值决定。

"response_type" value

Flow

code 

Authorization Code Flow

id_token 

Implicit Flow

id_token token

Implicit Flow

code id_token 

Hybrid Flow

code token 

Hybrid Flow

code id_token token

Hybrid Flow

2.Authorization Code Flow

1. 使用授权码流程进行身份验证

授权代码流程将授权代码返回给客户端,然后客户端可以直接将其交换为 ID 令牌和访问令牌。这样做的好处是不会向用户代理以及可能访问用户代理的其他恶意应用程序暴露任何令牌。授权服务器还可以在将授权代码交换为访问令牌之前对客户端进行身份验证。授权代码流程适用于可以在自己和授权服务器之间安全维护客户端密钥的客户端。

2.授权代码流程经历以下步骤。

  1. 客户端准备包含所需请求参数的身份验证请求。

  2. 客户端将请求发送到授权服务器。

  3. 授权服务器对最终用户进行身份验证。

  4. 授权服务器获得最终用户同意/授权。

  5. 授权服务器将最终用户连同授权代码发送回客户端。

  6. 客户端使用令牌端点处的授权代码请求响应。

  7. 客户端收到响应正文中包含 ID 令牌和访问令牌的响应。

  8. 客户端验证 ID 令牌并检索最终用户的主题标识符。

3.Implicit Flow

1.使用隐式流程进行身份验证

使用隐式流程时,所有令牌均从授权端点返回;未使用令牌端点。

隐式流程主要由使用脚本语言在浏览器中实现的客户端使用。访问令牌和 ID 令牌直接返回给客户端,这可能会将它们公开给最终用户和有权访问最终用户的用户代理的应用程序。授权服务器不执行客户端身份验证。

2.隐式流程步骤

  1. 客户端准备包含所需请求参数的身份验证请求。

  2. 客户端将请求发送到授权服务器。

  3. 授权服务器对最终用户进行身份验证。

  4. 授权服务器获得最终用户同意/授权。

  5. 授权服务器将最终用户连同 ID 令牌以及访问令牌(如果请求)发送回客户端。

  6. 客户端验证 ID 令牌并检索最终用户的主题标识符。

4.Hybrid Flow

1.使用混合流进行身份验证

使用混合流时,一些令牌从授权端点返回,另一些令牌从令牌端点返回。

2.混合流程步骤

  1. 客户端准备包含所需请求参数的身份验证请求。

  2. 客户端将请求发送到授权服务器。

  3. 授权服务器对最终用户进行身份验证。

  4. 授权服务器获得最终用户同意/授权。

  5. 授权服务器将最终用户连同授权代码以及一个或多个附加参数(根据响应类型)发送回客户端。

  6. 客户端使用令牌端点处的授权代码请求响应。

  7. 客户端收到响应正文中包含 ID 令牌和访问令牌的响应。

  8. 客户端验证 ID 令牌并检索最终用户的主题标识符。

该图片转载

四、应用场景

在OIDC中,授权码流(Authorization Code Flow)、隐式流(Implicit Flow)和混合流(Hybrid Flow)适用于不同的场景,根据安全需求和应用程序的性质选择不同的流程。

  1. 授权码流(Authorization Code Flow):

    • 使用场景:适合具有高安全要求的应用程序,特别是涉及敏感数据的应用程序。授权码流通过将授权码直接发送到服务器,而不是在浏览器中公开传输令牌,提供了更高的安全性。
    • 工作方式:用户在应用程序中进行身份验证后,会重定向到授权服务器以获取授权码,然后应用程序使用该授权码与授权服务器交换访问令牌。

  2. 隐式流(Implicit Flow):

    • 使用场景:适合具有低安全要求的应用程序,特别是单页应用程序和移动应用程序。隐式流允许在浏览器中通过重定向返回令牌,从而避免了使用授权码,并简化了流程。
    • 工作方式:用户在应用程序中进行身份验证后,将直接从授权服务器获取访问令牌,而不是先获取授权码。

  3. 混合流(Hybrid Flow):

    • 使用场景:适合需要同时满足高安全性和良好用户体验的应用程序,特别是涉及敏感数据的应用程序。混合流结合了授权码流和隐式流的优点,提供了更好的安全性和灵活性。
    • 工作方式:用户在应用程序中进行身份验证后,会先获取授权码,然后使用授权码与授权服务器交换访问令牌。此外,还可以通过隐式流直接从授权服务器获取令牌,以提供更好的用户体验和性能。

相关资料

1.理解 OIDC 流程 | Authing 文档

2.Final: OpenID Connect Core 1.0 incorporating errata set 2

Mikey689
关注
  • 16
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
[认证授权] 4.OIDC(OpenId Connect)身份认证授权(核心部分)
weixin_34268753的博客
05-30 1798
1 什么是OIDC? 看一下官方的介绍(http://openid.net/connect/): OpenID Connect 1.0 is a simple identity layer on top of the OAuth 2.0 protocol. It allows Clients to verify the identity of the End-User based on t...
OIDC】概念盲扫
Huang_Ds的博客
07-07 2738
OIDC概念盲扫:OIDC的角色构成,OIDC的三种流程,OIDC的优势!!!
OIDC的学习
liuyancainiao的博客
02-19 3724
OIDC(OpenID Connect),下一代的身份认证授权协议;当前发布版本1.0; OIDC是基于OAuth2+OpenID整合的新的认证授权协议;OAuth2是一个授权(authorization)的开放协议, 在全世界得到广泛使用,但在实际使用中,OAuth2只解决了授权问题,没有实现认证部分,往往需要添加额外的API来实现认证;而OpenID呢,是一个认证(authenticatio...
推荐:Angular授权库 - OpenID Connect & OAuth2的完美解决方案
最新发布
gitblog_00006的博客
05-15 275
推荐:Angular授权库 - OpenID Connect & OAuth2的完美解决方案 项目地址:https://gitcode.com/damienbod/angular-auth-oidc-client 在构建安全且合规的身份验证系统时,我们常常寻找可靠的工具来简化复杂的流程。这就是Angular Lib for OpenID Connect & OAuth2发挥作用的地...
授权协议OAuth 2.0之通过OIDC实现SSO
wang0907的博客
04-24 984
OIDC的全称是openid connect,和OAuth2.0一样,也是属于协议和规范的范畴。OAuth2.0是一种授权协议,即规定了的内容。而OIDC是OAuth2.0的超集,不仅规定了,还定义了的内容,即OIDC不仅是授权协议,也是一种认证协议。实际上,OIDC也正是在OAuth2.0的基础上做了扩展,从而支持了身份认证的功能,如下图:1:受保护资源的拥有者一般是我们自己2:受保护的资源一般就是HTTP的接口形式的API,当然也可以是其他形式3:三方软件一般是希望拿到受保护资源的角色。
深入浅出理解OIDC
weixin_45747080的博客
07-19 3189
OIDC是OAuth2.0的增强,OIDC的核心是IDToken。相较于OAuth2.0,在授权流程多返回了IDToken,并且OIDC的Identity Provider还提供ID Token的认证服务。对于第三方应用程序(RP)来说可以更加安全地获取到登录用户的个人信息和唯一标识,使得第三方应用程序可以自己存储已登录用户的个人信息,但是不需要提供认证服务,因为认证服务是交由了Identity Provider。
干货 | 使用 OIDC 进行身份验证的工作原理
Authing的博客
08-16 3761
OIDC 全称是 OpenID Connect,是一个基于 OAuth 2.0 的认证 + 授权(OAuth 2.0 提供的能力)协议。《身份云动态 | 认证和授权,都离不开的 OIDC 协议》一文中提到,OIDC 诞生的场景是 —— 被授权的主体不再是用户,而是「想要访问用户资源的第三者」,而颁发权限的主体也不再是管理员,而是用户自己。OIDC 诞生的场景则是 —— 被授权的主体不再是用户,而是「想要访问用户资源的第三者」,而颁发权限的主体也不再是管理员,而是用户自己。............
OpenID Connect详解
zou8944的博客
12-26 9535
OpenID Connect 1.0是建立在OAuth 2.0上的一个身份验证机制,它允许客户端通过授权服务对用户进行认证并获取简单的用户信息。 前置知识:读者需要了解OAuth2.0的授权码模式和隐藏模式两种工作流程,要了解JWT、JWE、JWS等概念。这在我的前两篇文章都有详细讲解 概览 名词解释 OP:OpenID Provider,即OAuth2.0中的授权服务,用于对用户鉴权 RP:Relying Part,依赖方,即OAuth2.0中的客户端,它从OP除获取对用户的鉴权和用户信息
OIDC认证授权协议
分享技术,共同进步!
10-18 8215
一、OIDC简介 OIDC是OpenID Connect的简称,OIDC=(Identity, Authentication) + OAuth 2.0。它在OAuth2上构建了一个身份层,是一个基于OAuth2协议的身份认证标准协议。OAuth2是一个授权协议,它无法提供完善的身份认证功能,OIDC使用OAuth2的授权服务器来为第三方客户端提供用户的身份认证,并把对应的身份认证信息传递给客户端,......
IAM的主流身份验证方法之OIDC协议
Innocence_0的博客
08-09 594
OpenID Connect(简称OIDC)是一种安全认证机制,第三方应用连接到身份认证服务器(IdentifyService)获取用户信息,并把这些信息以安全可靠的方式返回给第三方应用。OAuth2.0通过Access Token作为向第三方应用授权访问自身资源的凭证。OpenIDConnect对OAuth2.0进行协议进行了扩展,通过扩展的ID Token字段,提供用户基础身份信息,ID Token使用JWT(JSON Web。
OpenID Connect
gitblog_00073的博客
03-16 651
OpenID Connect OpenID Connect是一个简单且开放的认证协议,它允许任何网站或应用程序通过HTTP/HTTPS与身份提供者进行安全的身份验证交互。这是一种基于OAuth 2.0协议的扩展,可以将身份验证过程简化为一个简单的步骤。 什么是OpenID Connect? OpenID Connect是一种用于实现Web应用、移动应用和API的安全身份验证的标准协议。该协议在OA...
liferay-oidc-plugin:Liferay插件,启用OpenID Connect身份验证
05-26
介绍 OpenID Connect协议将身份验证委托给所谓的提供程序,并为请求的应用程序(在我们的示例中为Liferay)提供访问令牌(例如临时的受限密码),以请求其他用户信息。 使用此用户信息,将创建一个Liferay帐户(如果...
auth0-xamarin-oidc-samples:带有Xamarin应用程序的Auth0 OIDC客户端
02-06
Auth0 Xamarin OIDC样本 贡献者 感谢这些出色的人贡献或维护此repo( ): 介绍 该存储库包含所有示例。 请参阅各个文件夹中的自述文件以了解更多信息。 此仓库由社区开发人员而不是Auth0支持和维护。 有关...
kubectl-login:使用oidc与身份提供者进行kubectl身份验证
03-17
本文将详细介绍如何使用 `kubectl-login` 和 OIDC 进行 `kubectl` 身份验证,并探讨相关知识点。 首先,了解 `kubectl-login` 是关键。这是一个 Python 脚本,用于简化通过 OIDC 进行 `kubectl` 认证的过程。它的...
authservice:将OIDC令牌获取从您的应用程序代码中移出,并移到Istio网格中
05-17
介绍 authservice帮助将委派给Istio网格。 authservice与任何标准OIDC提供程序以及其他Istio最终用户Auth功能(包括和 )兼容。 它们一起使开发人员无需任何应用程序代码即可保护其API和Web应用程序。 它提供的一些...
PyPI 官网下载 | mozilla-django-oidc-1.2.4.tar.gz
01-13
- `README`: 包含库的介绍、安装指南、使用示例等信息。 - `requirements.txt`: 列出库运行所需的依赖库及其版本。 - `LICENSE`: 库的许可协议,如MIT、Apache 2.0等。 - `setup.py`: Python安装脚本,用于安装和...
OIDC协议 — 理解OIDC身份认证授权
qq_38658567的博客
09-13 923
本篇博客介绍OIDC的发现服务,OAuth2的扩展规范。OIDC其本身是一个完全开放的标准,而且兼容众多的已有的IDP(身份提供商),比如基于SAML的、基于WS-Federation的等等已有的身份认证系统,都可以作为OIDC的OP存在。OIDC使得身份认证可以作为一个服务存在。OIDC可以很方便的实现SSO(跨顶级域)。OIDC兼容OAuth2,可以使用Access Token控制受保护的API资源。OIDC可以兼容众多的IDP作为OIDC的OP来使用。
认识和理解OCID
xiaoyi52的专栏
02-29 1044
当你的用户需要访问服务器上受保护资源的时候,例如用户订单数据,用户购物车等,需要携带id_token。id_token是用户的身份标识,就像身份证一样。id_token是一个JWT Token。如果请求没有携带id_token,或者携带的id_token不合法,则表示本次请求认证不通过。你为其他人提供身份服务,其他应用需要从你的服务器获取用户信息。比如github提供身份服务,其他应用可以向github索要用户的信息,完成用户在他们平台的注册,即三方登录。
uniapp oidc
03-14
UniApp是一种基于Vue.js的跨平台开发框架,可以用于同时开发iOS、Android和Web应用程序。OIDC(OpenID Connect)是一种身份验证协议,它建立在OAuth 2.0协议之上,用于实现用户身份验证和授权。 在UniApp中使用OIDC可以实现以下功能: 1. 用户登录:通过OIDC协议,用户可以使用其它平台(如Google、Facebook等)的账号登录到UniApp应用程序。 2. 用户授权:UniApp应用程序可以通过OIDC协议获取用户的授权信息,以便访问用户在其他平台上的资源。 3. 单点登录:通过OIDC协议,用户只需要登录一次,就可以在多个UniApp应用程序中共享登录状态。 相关问题: 1. 什么是UniApp? 2. 什么是OIDC? 3. UniApp如何使用OIDC实现用户登录和授权? 4. OIDC与OAuth 2.***

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Mikey689

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值