OIDC及其在RESTful AP與SPA架構下的SSO實現思路（第一版）

樑王發表於2019-03-04

REST架構

前言

最近在對基於token做身份認證的專案中擴充套件sso。

背景

專案大致架構如下

其中伺服器端是RESTful風格的API伺服器，客戶端基於Vue開發的SPA。

身份認證是基於token，客戶端登入之後，伺服器端驗證併傳送JWT token給客戶端，客戶端將token存入localStorage中並每次恢復到Vuex中，客戶端每次請求都會在HTTP自定義頭部中附帶token。

本文簡述下我對OIDC解決方案的簡單理解以及基於上述架構實現sso的思路。

正文

OIDC的官方解釋如下

OpenID Connect 1.0 is a simple identity layer on top of the OAuth 2.0 protocol. It allows Clients to verify the identity of the End-User based on the authentication performed by an Authorization Server, as well as to obtain basic profile information about the End-User in an interoperable and REST-like manner.

也就是OAuth2.0只解決了資源的訪問和分享，OIDC則基於此實現了使用者的認證。它的主要目的是提供一次登入，多個站點享有登入狀態。也就是當使用者在某一使用OIDC的網站登入時，使用者被重定向到OpenID站點登入，然後重定向回原來網站。

OIDC已經有很多的企業在使用，比如Google的賬號認證授權體系，Microsoft的賬號體系也部署了OIDC，當然這些企業有的也是OIDC背後的推動者。

OAuth2提供了Access Token來解決授權第三方客戶端訪問受保護資源的問題；相似的，OIDC在這個基礎上提供了ID Token來解決第三方客戶端標識使用者身份認證的問題。OIDC的核心在於在OAuth2的授權流程中，一併提供使用者的身份認證資訊（ID-Token）給到第三方客戶端，ID-Token使用JWT格式來包裝，得益於JWT（JSON Web Token）的自包含性，緊湊性以及防篡改機制，使得ID-Token可以安全的傳遞給第三方客戶端程式並且容易被驗證。應用伺服器，在驗證ID-Token正確之後，使用Access-Token向介面換取使用者的更多的資訊。

OIDC到底怎麼執行的

第一期先從簡，也不討論什麼OIDC協議族，就單單說一下OIDC是怎麼運作的。以還是以午安網舉例。

如果我要使用大午安賬號登入午安空間網站，那麼這個大致流程如下：

使用Implicit Flow

首先午安空間會傳送授權請求給oidc-server
如果已經登入了，oidc-server會返回一個“證件”或者如果你沒登入會要求你登入，然後詢問你是否授權給午安空間某些許可權比如郵件地址等（當然午安這個例子裡面不存在，因為肯定都是全許可權）。
一旦你確定並授權了這次登入，oidc-server會傳送Acess-Token和ID Token（如果要求了），並跳轉回午安空間網站。（可以通過url附帶）
(認證) 午安空間網站獲得ID-Token之後，使用oidc-server提供的公鑰解密驗證。
然後午安空間就可以通過之前得到的Access-Token去訪問oidc-server獲取使用者資訊了

午安網實現SSO的全流程設計

設計可能比較粗糙或者有問題，如果有問題希望評論一下幫我修正修正。
設計使用的是Implicit Flow。

單點登入

主動登出

沒啥好說的，客戶端清理自己的狀態，然後發出登出請求給oidc-server。

被動登出

這塊就找到了一個網上的例子

其利用oipc協議族裡的Discovery服務中提供的一個check_session_iframe介面。

核心原理是讓客戶端插入一個oidc-server頁面的iframe並週期性的檢查，當我在“午安空間”點選登出的時候，會發出登出請求給oidc-server並觸發oidc-server的站點清理自己的cookie，然後在之前客戶端中使用check_session_iframe這個隱藏的iframe可以檢測到這種變化，從而使得客戶端可以得知使用者已在再其他的應用的客戶端退出登入，這時候就清理自己客戶端的登入狀態。

例子中的客戶端程式碼

後記

這部分放的是下版本要加的或者完善的。

瞭解下Authorization Code Flow。

自動登入補充

如果只有上面的解決方案的話會存在一個問題，那就是如果我sso已登入，我到另一個網站比如午安影視，我需要點選登入之後才會出現登入狀態。也就是說沒有自動登入。

一個實現的方法是可以在一開始就去訪問oidc-server詢問是否已經登入，oidc-server的協議族Discovery提供一個介面。

後記

優秀的參考資料

OpenID Connect

RESTful架構和實現級別
2020-09-25
REST架構
前端插拔式 SPA 應用架構實現方案
2018-08-17
前端應用架構
基於SPA架構的GraphQL工程實踐
2019-02-25
架構
基於IdentityServer4的OIDC實現單點登入(SSO)原理簡析
2019-07-18
IDEServer
理解RESTFul架構
2011-09-12
REST架構
webpack構建下換膚功能的實現思路
2017-11-27
Web
WebServiceCXF與Restful架構風格簡介
2018-07-01
WebREST架構
依靠K8S實現新一代通用AP層架構
2018-08-31
K8S架構
架構之:REST和RESTful
2021-07-15
架構REST
RESTful 架構風格概述
2015-12-08
REST架構
LoadBalancer在kubernetes架構下的實踐
2020-05-24
架構
RESTful 架構風格下的 4 大常見安全問題
2017-01-05
REST架構
Spring Cloud雲架構-Restful 基礎架構
2019-03-01
SpringCloud架構REST
IT轉型與基於雲的架構實現
2015-10-22
架構
RESTful API 設計思路及實踐
2016-09-23
RESTAPI
Java架構-spring+springmvc+Interceptor+jwt+redis實現sso單點登入
2018-11-18
Java架構SpringMVCJWTRedis
octavia的實現與分析（二）·原理，架構與基本流程
2019-07-18
架構
TencentHub的架構實現
2018-07-17
架構
事件驅動架構 vs. RESTful架構：通訊模式對比與選擇
2023-12-07
事件架構REST模式
資訊架構的設計思路 .
2011-11-08
架構
RESTful 架構基礎講解
2018-07-23
REST架構
元件化構架思路
2019-01-27
元件化
ElasticSearch架構反向思路
2018-07-27
Elasticsearch架構
Percolator模型及其在TiKV中的實現
2021-09-22
模型
愛奇藝在 Dubbo 生態下的微服務架構實踐
2020-09-03
微服務架構
入侵檢測系統分析及其在Linux下的實現(轉)
2007-08-17
Linux
Flutter 在流式場景下的架構設計與應用
2021-10-21
Flutter架構
啟用資料價值，探究DataOps下的資料架構及其實踐
2022-10-26
架構
無線AP以及其與無線路由器的區別
2022-11-09
路由器
分散式系統的架構思路
2018-08-25
分散式架構
基於CAS 實現與容器（Tomcat 或者 JBoss）的SSO
2009-04-30
Tomcat
MVP+Dagger2設計，MVP架構模式實現新思路 (Demo)
2016-03-06
MVP架構模式
車聯網服務non-RESTful架構改造實踐
2019-08-28
REST架構
架構與思維：高併發下解決主從延時的一些思路
2022-02-10
架構
愛奇藝RND框架技術探索——架構與實現
2022-12-05
框架架構
小米深度學習平臺架構與實現
2017-08-22
深度學習架構
億級流量架構之服務限流思路與方法
2021-02-20
架構
【思路】混合雲與多雲管理進入架構時代！
2017-08-08
架構