如何基於 Security 實現 OIDC 單點登入？

一、說明

本文主要是給大家介紹  OIDC 的核心概念以及如何通過對  Spring Security 的授權碼模式進行擴充套件來實現 OIDC 的單點登入。

OIDC 是 OpenID Connect 的簡稱，OIDC=(Identity, Authentication) + OAuth 2.0。它在  OAuth2 上構建了一個身份層，是一個基於 OAuth2 協議的身份認證標準協議。我們都知道 OAuth2 是一個授權協議，它無法提供完善的身份認證功能，OIDC 使用 OAuth2 的授權伺服器來為第三方客戶端提供使用者的身份認證，並把對應的身份認證資訊傳遞給客戶端，且完全相容 OAuth2。

二、OIDC 核心概念

OAuth2 提供了  Access Token 來解決授權第三方  客戶端 訪問受保護資源的問題；OIDC 在這個基礎上提供了  ID Token 來解決第三方客戶端標識使用者身份認證的問題。OIDC 的核心在於 OAuth2 的授權流程中，一併提供使用者的身份認證資訊  ID Token 給到第三方  客戶端， ID Token 使用  JWT 格式來包裝。

 

OIDC 協議授權返回示例：

{    "resp_code": 200,    "resp_msg": "ok",    "datas": {        "access_token": "d1186597-aeb4-4214-b176-08ec09b1f1ed",        "token_type": "bearer",        "refresh_token": "37fd65d8-f017-4b5a-9975-22b3067fb30b",        "expires_in": 3599,        "id_token": "eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJodHRwOi8vemx0MjAwMC5jbiIsImlhdCI6MTYyMTY5NjU4MjYxNSwiZXhwIjoxNjIxNjk2NjQyNjE1LCJzdWIiOiIxIiwibmFtZSI6IueuoeeQhuWRmCIsImxvZ2luX25hbWUiOiJhZG1pbiIsInBpY3R1cmUiOiJodHRwOi8vcGtxdG1uMHAxLmJrdC5jbG91ZGRuLmNvbS_lpLTlg48ucG5nIiwiYXVkIjoiYXBwIiwibm9uY2UiOiJ0NDlicGcifQ.UhsJpHYMWRmny45K0CygXeaASFawqtP2-zgWPDnn0XiBJ6yeiNo5QAwerjf9NFP1YBxuobRUzzhkzRikWGwzramNG9na0NPi4yUQjPNZitX1JzlIA8XSq4LNsuPKO7hS1ALqqiAEHS3oUqKAsjuE-ygt0fN9iVj2LyL3-GFpql0UAFIHhew_J7yIpR14snSh3iLVTmSWNknGu2boDvyO5LWonnUjkNB3XSGD0ukI3UEEFXBJWyOD9rPqfTDOy0sTG_-9wjDEV0WbtJf4FyfO3hPu--bwtM_U0kxRbfLnOujFXyVUStiCKG45wg7iI4Du2lamPJoJCplwjHKWdPc6Zw"
    }
}

可以看到與普通的 OAuth2 相比返回的資訊中除了有 access_token 之外還多出了  id_token 屬性。

 

三、什麼是 ID Token

ID Token 是一個安全令牌，由授權伺服器提供的包含使用者資訊的 JWT 格式的資料結構，得益於 JWT（JSON Web Token）的自包含性，緊湊性以及防篡改機制，使得 ID Token 可以安全的傳遞給第三方客戶端程式並且容易被驗證。

 

id_token 包含以下內容：

{  "iss": "管理員",  "login_name": "admin",  "picture": "頭像.png",  "aud": "app",  "nonce": "t49bpg"}

• iss：令牌頒發者
• iat：令牌頒發時間戳
• exp：令牌過期時間戳
• sub：使用者 id
• name：使用者姓名
• login_name：使用者登入名
• picture：使用者頭像
• aud：令牌接收者，OAuth 應用 ID
• nonce：隨機字串，用來防止重放攻擊

 

3.1. 與 JWT 的 Access Token 區別

是否可以直接使用 JWT 方式的 Access Token 並在 Payload 中加入使用者資訊來代替 ID Token 呢？

 

雖然在 Access Token 中可以加入使用者的資訊，並且是防篡改的，但是使用者的每次請求都需要攜帶著 Access Token，這樣不但增加了頻寬，而且很容易洩露使用者的資訊。

 

3.2. 與 UserInfo 端點的區別

通常 OIDC 協議都需要另外提供了一個  Get /userinfo 的 Endpoint，需要通過 Access Token 呼叫該 Endpoint 來獲取詳細的使用者資訊，這個方法和 ID Token 同樣都可以獲取使用者資訊，那兩者有什麼區別呢？

 

相比較於  Get /userinfo 的介面使用 ID Token 可以減少遠端 API 呼叫的額外開銷；使用那個主要是看  需求，當你只需要獲取使用者的基本資訊直接使用 ID Token 就可以了，並不需要每次都通過 Access Token 去呼叫  Get /userinfo 獲取詳細的使用者資訊。

 

四、OIDC 單點登入流程

下面我們看一個 OIDC 協議常用的場景，就是具有  獨立使用者體系 系統間的單點登入，意思指的是使用者資料並不是統一共用的，而是每個系統都擁有自己獨立的使用者資料，所以流程最後增加了一步  自動註冊使用者。

大部分的流程與 OAuth2 的授權碼模式相同這裡就不多講述了，其中下面兩個步驟需要說明一下：

• 解析 ID Token 的公鑰可以是預先提供給第三方系統也可以是提供介面獲取。
• 自動註冊使用者 指的是第一次單點登入的時候，由於使用者資訊不存在需要在本系統中生成該使用者資料；例如你從未在 CSDN 中註冊也可以使用微信來登入該網站。

 

五、Spring Security 實現

先說一下擴充套件最終的目標是需要達到以下效果：

• 授權碼模式： /oauth/authorize?client_id={client_id}&redirect_uri={redirect_uri}&response_type=code
• OIDC 模式： /oauth/authorize?client_id={client_id}&redirect_uri={redirect_uri}&response_type=code id_token

目標是要通過在 response_type 中的傳值來控制是否使用 OIDC 模式，如果使用則在 response_type 中增加 id_token 的值。

由於需要在 OAuth2 返回的內容中新增 ID Token 屬性，所以實現這個擴充套件的關鍵就是需要通過 Security 的  TokenEnhancer 來為 Token 新增自定義欄位；

定義 TokenEnhancer 的 Bean 來擴充套件 Token：

通過授權的 response_type 引數來判斷是否需要生成 id_token。

生成 ID Token 的 JWT：

 

PS：上面只列出了部分關鍵程式碼，完整程式碼請通過下面的 demo 地址去下載。