认识和理解OCID

已于 2024-06-14 18:15:05 修改
阅读量984 收藏 25
点赞数 13
分类专栏: 后端框架 数据安全 文章标签: OIDC 登录认证
于 2024-02-29 15:44:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaoyi52/article/details/136370402
版权
本文详细介绍了OIDC(OpenIDConnect)基于OAuth2.0的身份认证协议,包括授权码模式、隐式模式和混合模式的流程,以及涉及的安全措施,如授权请求参数和使用授权码获取accessToken的过程。
摘要由CSDN通过智能技术生成

OIDC,即OpenID Connect,它是基于OAuth 2.0的认证授权行业标准协议。它构建在OAuth 2.0之上,提供了一个身份认证层,用于用户身份的认证。OIDC允许用户数据安全地暴露给第三方,同时支持各种类型的客户端,如服务端应用、移动应用和Web应用。使用OIDC时,授权服务器会为第三方客户端提供用户的身份认证信息,确保了用户身份的验证和授权过程。OIDC与OAuth 2.0是完全兼容的,因此,部署了OIDC服务的系统也可以作为OAuth 2.0的服务来使用。

概述

当你的用户需要访问服务器上受保护资源的时候,例如用户订单数据,用户购物车等,需要携带id_token。
id_token是用户的身份标识,就像身份证一样。id_token是一个JWT Token

如果请求没有携带id_token,或者携带的id_token不合法,则表示本次请求认证不通过。

你为其他人提供身份服务,其他应用需要从你的服务器获取用户信息。

比如github提供身份服务,其他应用可以向github索要用户的信息,完成用户在他们平台的注册,即三方登录。其实质是,在用户同意第三方应用访问该用户在授权服务器上的信息的前提下,授权服务器生成一个Access Token给第三方,只要第三方拥有这个token,就能代表用户访问授权服务器上的用户身份信息。

OIDC流程

既然需要认证、授权,那你的服务器,第三方服务器、用户这三者之间如何通信呢?如何颁发token?需要遵守怎样的规范?OIDC就是这样一套规范,其应用广泛,轻量简单,基于OAuth 2.0,既可以用于授权,也可以用于身份认证。

access_token用于授权,id_token用户认证。

授权码模式

授权码模式是最常用的OIDC流程,如下图所示:
在这里插入图片描述
描述如下:

  • 第三方发起授权请求
  • 授权服务器询问用户是否同意授权,要求用户输入用户名和密码。
  • 授权服务器返回一个授权码给第三方应用(前端或后端都行)。
  • 第三方应用后端携带这个授权码向授权服务器请求token。
  • 授权服务器返回id_token和access_token。

在上述流程中,授权请求里面的scope参数中是带有openid的,因此最后返回的token包含id_token。如果不带openid呢?则最后返回的只有accessToken,而没有id_token。

隐式模式

当发起授权请求时query参数中response_type不为code的时候,则表示使用隐式模式。

在这种模式下,response_type可以为tokenid_tokenid_token token

隐式模式可以在一次请求中就获取到token,而不需要额外的返回授权码再通过授权码获取token这两步。返回的token中包含什么则取决于response_type,可以只有access token或者只有id_token或者两者都包含。

隐式模式流程如下:
在这里插入图片描述
可以看出,隐式模式最为简单直接,但是在安全性上不如授权码模式,因为可能会在前端暴露Access Token。隐式模式要求回调地址必须为https。

从流程图可以看出,当授权服务器要求用户授权后,授权服务器需要主动回调客户端。所谓的回调地址就用在这里。

混合模式

混合模式的意思是发起授权请求后,既返回授权码又返回AccessToken或ID Token。

混合模式要求query参数response_type=code id_tokenresponse_type=code tokenresponse_type=code id_token token

这三种形式的混合模式流程如下所示:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

response_type是第一次用户认证之后的返回值,scope是获取用户信息时的返回值。

授权码模式的安全性

OIDC授权码模式的认证流程中涉及三方:用户、OIDC服务器(OP, OIDC Provider)、应用服务器(SP, Service Provider)。

SP、用户、OP的交互目的分为以下几点:

  1. SP希望拿到一个可信的身份断言,从而让用户登录。
  2. SP发起登录,会跳转到OP的认证页面,OP让用户登录,并授权自己的信息,然后OP将一个授权码code发给SP。
  3. SP收到授权码之后,结合Client ID和Client Secret 到OP换取该用户的access_token。
  4. SP利用access_token到OP去获取用户的相关信息,而从得到一个可信的身份断言,让用户登录。

OIDC协议中,用户登录成功后,OIDC认证服务器会将用户的浏览器回调到一个回调地址,并携带一个授权码code。这个授权码一般有效期10分钟且一次有效,用后作废。

后端收到授权码code之后,需要使用Client Id + Client Secret + Code 去OIDC认证服务器换取用户的access_token。在这一步,实际上OIDC Server对OAtuth Client进行了认证,能够确保来OIDC认证服务器获取access_token的机器是可信任的,而不是任何一个人拿到code之后都能来OIDC认证服务器换取token。即使code被黑客获取到,如果他没有Client Id + Client Secret也无法使用。就算有,也要和真正的应用服务器竞争,因为code一次有效,用后作废,加大了攻击难度。

授权请求参数

在上文中经常提到scope和response_type参数,事实上,授权请求中有如下Query Parameters参数:

参数名类型说明
client_id(必填)string应用id
redirect_uri(必填)sting回调地址,授权服务器返回授权码时使用
scope(必填)sting指定客户端请求token时所需权限,如果是授权码模式则必须包含openid;还可以指定profile和offline_access,分别表示要获取用户基本文件信息和获取刷新令牌;多个scope参数用空格分隔。id_token解码后的内容会包括scope对应的用户信息相关字段
response_type(必填)sting标识登录成功后OP要返回的信息
prompt(可选)sting可以为 none,login,consentselect_account,指定 OP 与 End-User 的交互方式,如需 refresh_token,必须为 consent
state(必填)string一个随机字符串,用于防范CSRF攻击,如果response中的state值和请求发送之前设置的state不同,则说明受到攻击
nonce(可选)string一个随机字符串,用于防范Replay攻击

通过授权码获取访问令牌accessToken时,通常需要如下参数:

参数名类型说明
grant_type(必填)string指定授权类型为 “authorization_code”,表示使用授权码进行访问令牌的获取
code(必填)sting授权码
redirect_uri(必填)sting回调地址,与授权请求时提供的回调地址必须一致
client(必填)sting客户端标识符
client_secret(可选)sting客户端密钥

Token验证

在上文中介绍了几种从授权服务器获取OIDC token的方式。但拿到token后,一般来说,还需要校验token的合法性,以确保token未被篡改、未过期,并且是由可信的授权服务器签发,主要验证签名和声明。

首先需要将token转换成JWT,其中包含了签名,key id,jwt的签发者,audience和过期时间等。

验证签名时需要从远程获取Json Web Key Set,从该keySet中获取key id对应的JWK,再根据签名算法来构建签名验证器,最后调用JWT的verify方法来验证签名。

除了签名之外,还需要验证token没有过期,token签发者和audience等是合法的。下面是代码示例:


// 先将字符串类型的Json Web Token 转换成签名的token
SignedJWT signedJWT = SignedJWT.parse(token);

// 获取远程Json Web Key Set
RemoteJWKSet<JWKSecurityContext> remoteJWKSet = new RemoteJWKSet<>(new URL("https://example.com/.well-known/jwks.json"));

// 从signedJWT中获取key的标识
String kid = signedJWT.getHeader().toJSONObject().get(Claim.KEY_ID.getValue()).toString()

// 从远程JWKS中获取JWK
JWKMatcher jwkMatcher = new JWKMatcher.Builder().keyID(kid).build();
JWK jwk = remoteJWKSet.get(new JWTSelector(jwkMatcher), null).stream().findFirst();
// 构建JWS验证器
JWSVerifier verifier = new RSASSAVerifier(RSAKey.parse(jwk.toJSONString()).toRSAPublicKey());

// 验证签名、有效期和声明
bool result = signedJWT.verify(verifier) && signedJWT.getJWTClaimsSet().getExpirationTime().toInstant().isAfter(Instant.now())
&& Objects.equals("myIssuer", signedJWT.getJWTClaimsSet().getIssuer())
&& signedJWT.getJWTClaimsSet().getAudience().contains(CLIENTID);

参考资料

[1]https://old-docs.authing.cn/authentication/oidc/understand-oidc.html

还是转转
关注
  • 13
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于OIDC(OpenID Connect)的SSO(纯JS客户端)
dotNET跨平台
12-02 7782
在上一篇基于OIDC的SSO的中涉及到了4个Web站点: oidc-server.dev:利用oidc实现的统一认证和授权中心,SSO站点。 oidc-client-hybrid.dev:oidc的一个客户端,采用hybrid模式。 oidc-client-implicit.dev:odic的另一个客户端,采用implicit模式。 oidc-client-js.dev
Java 泛型
淋雨一直走~
06-30 141
了解泛型 泛型的几个小知识点:泛型接口、泛型方法、泛型类、泛型的上下限 1,使用泛型的目的为了java类型的安全 泛型的主要目标是提高 Java 程序的类型安全。编译时的强类型检查;通过知道使用泛型定义的变量的类型限制,编译器可以在一个高得多的程度上验证类型假设。没有泛型,这些假设就只存在于程序员的头脑中(或者如果幸运的话,还存在于代码注释中)。 2,消除强制类型转换。 泛型的一个附带好处是,消除源代码中的许多强制类型转换。这使得代码更加可读,并且减少了出错机会。 3, Java语言引入泛型的好处是安全简
[OIDC in Action] 1. 基于OIDC(OpenID Connect)的SSO
weixin_34240657的博客
11-26 585
在[认证授权]系列博客中,分别对OAuth2和OIDC在理论概念方面进行了解释说明,其间虽然我有写过一个完整的示例(https://github.com/linianhui/oidc.example),但是却没有在实践方面做出过解释。在这里新开一个系列博客,来解释其各种不同的应用场景。因为OIDC是在OAuth2之上的协议,所以这其中也会包含OAuth2的一些内容。 OIDC协议本身有很多的开源...
SSO的实现协议及OIDC协议的实现流程
最新发布
本博客记录了从2014年以来在工作学习中遇到的技术问题、解决方法以及部分个人人生经历、经验等内容。
04-05 826
用户是 QQ 账号的所有者。QQ 的授权服务器负责用户的身份认证和授权。提供 SSO 的标准和协议有很多,其中一些著名的有:安全访问标记语言 (SAML)、开放授权 (OAuth)、开放 ID 连接 (OIDC)、Web 服务联合 (WS-Federation)、CAS(Central Authentication Service)、Kerberos等。SAML 是一种基于 XML 的标准,用于在 IdP 和服务提供商之间交换身份验证和授权数据,以验证用户的身份和权限,然后授予或拒绝他们对服务的访问权限。
搭建OIDC Provider,以Golang为例
weixin_45747080的博客
07-21 1175
具体要不要在访问资源的时候检查token是否过期可以根据需求,也可以在前端采用各种策略(如轮询)来检查用户token是否过期,过期即要求用户重新登录,此时的access_token就会是最新的了,访问资源的时候就不需要再重新刷新access_token了。在Github注册然后登录用户后,我们就能在我的Github里创建和查看自己的Repository(代码仓库,以下简称“Repo”),同时我有两个App,一个叫Gitee,Gitlab,这两个App实现了能够访问用Github登录的用户的Repo。
IAM的主流身份验证方法之OIDC协议
dzqxwzoe的博客
07-28 209
相对其他协议的话OIDC协议的漏洞会更加难以利用一些,,但是由于oauth和oidc的共通性,大部分在oauth协议上存在的漏洞也可能会出现在oidc部署上,只不过目前我们看到的oidc实现很大一部分都是经过二次开发过的,所以就算是同一个洞在不同的实现上面可能利用方式也不一样,在oidc认证流程里面也有一些细节没有提到,比如机密客户端认证有client_id、client_secret参数啊、userinfo端点啊、令牌自省、刷新令牌啊、令牌校验过程。
基于OIDC的SSO单点登录
focus:Follow One Cause Until Success
07-05 2086
SSO单点登录:是指用户的一次性鉴权登录。即用户在身份验证服务器服务器登录一次后,在身份验证服务器的注册服务中即可自动完成登录验证的功能。简单来说,就是在有多个系统时,只需要登录一次,其他服务即可自动感知获取到用户的登录状态。单点登录的主要核心是身份验证服务器。在身份验证服务器中注册了用户的具体信息和可信应用。在其他服务获取登录状态时,是通过相关协议直接访问身份验证服务器获取用户的登录状态和身份完成登录的授权操作的。
深入浅出理解OIDC
weixin_45747080的博客
07-19 2914
OIDC是OAuth2.0的增强,OIDC的核心是IDToken。相较于OAuth2.0,在授权流程多返回了IDToken,并且OIDC的Identity Provider还提供ID Token的认证服务。对于第三方应用程序(RP)来说可以更加安全地获取到登录用户的个人信息和唯一标识,使得第三方应用程序可以自己存储已登录用户的个人信息,但是不需要提供认证服务,因为认证服务是交由了Identity Provider。
OIDC认证授权协议
分享技术,共同进步!
10-18 8180
一、OIDC简介 OIDC是OpenID Connect的简称,OIDC=(Identity, Authentication) + OAuth 2.0。它在OAuth2上构建了一个身份层,是一个基于OAuth2协议的身份认证标准协议。OAuth2是一个授权协议,它无法提供完善的身份认证功能,OIDC使用OAuth2的授权服务器来为第三方客户端提供用户的身份认证,并把对应的身份认证信息传递给客户端,......
OIDC】概念盲扫
Huang_Ds的博客
07-07 2731
OIDC概念盲扫:OIDC的角色构成,OIDC的三种流程,OIDC的优势!!!
oc之id 总结思考
helloworld的博客
03-11 493
已经知道C语言输出是#include<stdio.h> int main(){ char *s = "love"; char *p; p = &s[0]; printf("%s",p);//p 只是一个地址。 return 0; }在看oc 基础教程发现,id类型是指针。 在输出的时候直接写了地址,因此联想到上面的情况。 下面是oc里id的例子。// //
OC----id 类型
Damys
01-16 1626
id 类型 9.1 NSObject: 是OC中所有类的基类.根据LSP NSObject指针就可以指向任意的OC对象. 所以.NSObject指针是1个万能指针.可以执行任意的OC对象. 缺点: 如果要调用指向的子类对象的独有的方法.就必须要做类型转换. 9.2 id指针: 是1个万能指针,可以指向任意的OC对象. 1) id是1个typedef自定义类型 在定...
OC id类型
weixin_33939380的博客
12-08 114
id数据类型可存储任何类型的对象。从某种意义说,它是一般对象类型。     -------------------------"NormalMan.h"----------------------------- #import &lt;Foundation/Foundation.h&gt;  @interface NormalMan : NSObject   // 在一个类中声明一个...
OpenID流程概述及其与OAuth的区别
热门推荐
星空漫野
11-19 1万+
目前OpenID在互联网上已经讨论的比较充分,也有很多中文资料。其与OAuth的区别在网络上也有很多介绍。但是,我还是决定将使用OpenID登录的流程图画下来。并初步分析一下OpenID和OAuth之间的区别。OAuth和OpenID的区别在于应用场景的区别,OAuth用于授权的,是一套授权(Authorization)协议;OpenID是用来认证的,是一套认证(Authentication)协议。两者是互补的。请允许我还是举那个老外的经典例子:“OpenID: 1.用户希望访问其在example.com
OC协议protocol详解
iteye_18817的博客
08-17 337
1、protocol协议的基本用途: (1)可以用来声明一大堆方法(不能声明成员变量) (2)只要某个类遵守了这个协议,就相当于拥有了这个协议中的所有方法声明。 (3)只要父类遵守了某个协议,就相当于子类也遵守了。 注意:协议内仅仅写方法声明,不能写实现,不能写成员变量 2、对协议的简单理解: (1)protocol声明的方法可以交给任何类去实现。 (2)protocol的作用仅...
OIDC的学习
liuyancainiao的博客
02-19 3721
OIDC(OpenID Connect),下一代的身份认证授权协议;当前发布版本1.0; OIDC是基于OAuth2+OpenID整合的新的认证授权协议;OAuth2是一个授权(authorization)的开放协议, 在全世界得到广泛使用,但在实际使用中,OAuth2只解决了授权问题,没有实现认证部分,往往需要添加额外的API来实现认证;而OpenID呢,是一个认证(authenticatio...
OIDC认证+授权
qq_38644495的博客
04-13 5297
五分钟理解什么是 OIDC (OpenID Connect) 什么是 OIDCOIDC 的全称是 OpenID Connect,是一套基于 OAuth 2.0 的认证 + 授权协议,用于用户身份认证,将用户数据安全地暴露给第三方。 OIDC 与 OAuth 2.0 有何不同? OAuth 2.0 是用于授权的行业标准协议。OAuth 2.0 致力于简化客户端开发人员的工作,同时为 Web 应用程序,桌面应用程序,移动电话和物联网设备提供特定的授权流程。 以上是 OAuth 2.0 的官方定义。我们举一
apple oidc 服务端认证 go版本,全网最佳
了迹奇有没
04-27 1020
apple oidc 服务端认证 go版本。 梳理一下苹果登录的逻辑, 这一篇是Go版本的。很详细。
oc id类型转json
07-28
在 Objective-C 中,将 `id` 类型转换为 JSON 可以使用 `NSJSONSerialization` 类来实现。下面是一个示例代码,演示了如何执行此转换过程: ```objective-c // 假设你有一个 id 对象,名为 object id object = ...; // 你自己的 id 对象 // 将 id 对象转换为 JSON 数据 NSData *jsonData = [NSJSONSerialization dataWithJSONObject:object options:NSJSONWritingPrettyPrinted error:nil]; // 将 JSON 数据转换为字符串 NSString *jsonString = [[NSString alloc] initWithData:jsonData encoding:NSUTF8StringEncoding]; // 输出转换后的 JSON 字符串 NSLog(@"%@", jsonString); ``` 在上述代码中,`NSJSONSerialization` 的 `dataWithJSONObject:options:error:` 方法用于将 `id` 对象转换为 JSON 数据。然后,可以使用 `NSData` 对象的 `initWithData:encoding:` 方法将 JSON 数据转换为字符串。 需要注意的是,转换过程中可能会出现错误,因此建议在实际使用中添加适当的错误处理。另外,在将 `id` 对象转换为 JSON 数据时,确保 `id` 对象是可以被序列化为 JSON 的有效对象,否则可能导致转换失败。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值