如何基於 Security 實現 OIDC 單點登入?

小程式開發發表於2022-07-12

mark

一、說明

本文主要是給大家介紹  OIDC 的核心概念以及如何通過對  Spring Security 的授權碼模式進行擴充套件來實現 OIDC 的單點登入。

OIDC 是 OpenID Connect 的簡稱,OIDC=(Identity, Authentication) + OAuth 2.0。它在  OAuth2 上構建了一個身份層,是一個基於 OAuth2 協議的身份認證標準協議。我們都知道 OAuth2 是一個授權協議,它無法提供完善的身份認證功能,OIDC 使用 OAuth2 的授權伺服器來為第三方客戶端提供使用者的身份認證,並把對應的身份認證資訊傳遞給客戶端,且完全相容 OAuth2。

二、OIDC 核心概念

OAuth2 提供了  Access Token 來解決授權第三方  客戶端 訪問受保護資源的問題;OIDC 在這個基礎上提供了  ID Token 來解決第三方客戶端標識使用者身份認證的問題。OIDC 的核心在於 OAuth2 的授權流程中,一併提供使用者的身份認證資訊  ID Token 給到第三方  客戶端ID Token 使用  JWT 格式來包裝。

 

OIDC 協議授權返回示例

{    "resp_code": 200,    "resp_msg": "ok",    "datas": {        "access_token": "d1186597-aeb4-4214-b176-08ec09b1f1ed",        "token_type": "bearer",        "refresh_token": "37fd65d8-f017-4b5a-9975-22b3067fb30b",        "expires_in": 3599,        "id_token": "eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJodHRwOi8vemx0MjAwMC5jbiIsImlhdCI6MTYyMTY5NjU4MjYxNSwiZXhwIjoxNjIxNjk2NjQyNjE1LCJzdWIiOiIxIiwibmFtZSI6IueuoeeQhuWRmCIsImxvZ2luX25hbWUiOiJhZG1pbiIsInBpY3R1cmUiOiJodHRwOi8vcGtxdG1uMHAxLmJrdC5jbG91ZGRuLmNvbS_lpLTlg48ucG5nIiwiYXVkIjoiYXBwIiwibm9uY2UiOiJ0NDlicGcifQ.UhsJpHYMWRmny45K0CygXeaASFawqtP2-zgWPDnn0XiBJ6yeiNo5QAwerjf9NFP1YBxuobRUzzhkzRikWGwzramNG9na0NPi4yUQjPNZitX1JzlIA8XSq4LNsuPKO7hS1ALqqiAEHS3oUqKAsjuE-ygt0fN9iVj2LyL3-GFpql0UAFIHhew_J7yIpR14snSh3iLVTmSWNknGu2boDvyO5LWonnUjkNB3XSGD0ukI3UEEFXBJWyOD9rPqfTDOy0sTG_-9wjDEV0WbtJf4FyfO3hPu--bwtM_U0kxRbfLnOujFXyVUStiCKG45wg7iI4Du2lamPJoJCplwjHKWdPc6Zw"
    }
}

可以看到與普通的 OAuth2 相比返回的資訊中除了有 access_token 之外還多出了  id_token 屬性。

 

三、什麼是 ID Token

ID Token 是一個安全令牌,由授權伺服器提供的包含使用者資訊的 JWT 格式的資料結構,得益於 JWT(JSON Web Token)的自包含性,緊湊性以及防篡改機制,使得 ID Token 可以安全的傳遞給第三方客戶端程式並且容易被驗證。

 

id_token 包含以下內容

{  "iss": "管理員",  "login_name": "admin",  "picture": "頭像.png",  "aud": "app",  "nonce": "t49bpg"}
  • iss:令牌頒發者
  • iat:令牌頒發時間戳
  • exp:令牌過期時間戳
  • sub:使用者 id
  • name:使用者姓名
  • login_name:使用者登入名
  • picture:使用者頭像
  • aud:令牌接收者,OAuth 應用 ID
  • nonce:隨機字串,用來防止重放攻擊

 

3.1. 與 JWT 的 Access Token 區別

是否可以直接使用 JWT 方式的 Access Token 並在 Payload 中加入使用者資訊來代替 ID Token 呢?

 

雖然在 Access Token 中可以加入使用者的資訊,並且是防篡改的,但是使用者的每次請求都需要攜帶著 Access Token,這樣不但增加了頻寬,而且很容易洩露使用者的資訊。

 

3.2. 與 UserInfo 端點的區別

通常 OIDC 協議都需要另外提供了一個  Get /userinfo 的 Endpoint,需要通過 Access Token 呼叫該 Endpoint 來獲取詳細的使用者資訊,這個方法和 ID Token 同樣都可以獲取使用者資訊,那兩者有什麼區別呢?

 

相比較於  Get /userinfo 的介面使用 ID Token 可以減少遠端 API 呼叫的額外開銷;使用那個主要是看  需求,當你只需要獲取使用者的基本資訊直接使用 ID Token 就可以了,並不需要每次都通過 Access Token 去呼叫  Get /userinfo 獲取詳細的使用者資訊。

 

四、OIDC 單點登入流程

下面我們看一個 OIDC 協議常用的場景,就是具有  獨立使用者體系 系統間的單點登入,意思指的是使用者資料並不是統一共用的,而是每個系統都擁有自己獨立的使用者資料,所以流程最後增加了一步  自動註冊使用者

file

大部分的流程與 OAuth2 的授權碼模式相同這裡就不多講述了,其中下面兩個步驟需要說明一下:

  • 解析 ID Token 的公鑰可以是預先提供給第三方系統也可以是提供介面獲取。
  • 自動註冊使用者 指的是第一次單點登入的時候,由於使用者資訊不存在需要在本系統中生成該使用者資料;例如你從未在 CSDN 中註冊也可以使用微信來登入該網站。

 

五、Spring Security 實現

先說一下擴充套件最終的目標是需要達到以下效果:

  • 授權碼模式: /oauth/authorize?client_id={client_id}&redirect_uri={redirect_uri}&response_type=code
  • OIDC 模式: /oauth/authorize?client_id={client_id}&redirect_uri={redirect_uri}&response_type=code id_token

目標是要通過在 response_type 中的傳值來控制是否使用 OIDC 模式,如果使用則在 response_type 中增加 id_token 的值。

由於需要在 OAuth2 返回的內容中新增 ID Token 屬性,所以實現這個擴充套件的關鍵就是需要通過 Security 的  TokenEnhancer 來為 Token 新增自定義欄位;

定義 TokenEnhancer 的 Bean 來擴充套件 Token:

file

通過授權的 response_type 引數來判斷是否需要生成 id_token。

生成 ID Token 的 JWT:

file

 

PS:上面只列出了部分關鍵程式碼,完整程式碼請通過下面的 demo 地址去下載。

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70019616/viewspace-2905341/,如需轉載,請註明出處,否則將追究法律責任。

相關文章