欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

基于Security實現(xiàn)OIDC單點(diǎn)登錄的詳細(xì)流程

 更新時間:2021年09月28日 09:01:32   作者:zlt2000  
本文主要是給大家介紹 OIDC 的核心概念以及如何通過對 Spring Security 的授權(quán)碼模式進(jìn)行擴(kuò)展來實現(xiàn) OIDC 的單點(diǎn)登錄。對Security實現(xiàn)OIDC單點(diǎn)登錄的詳細(xì)過程感興趣的朋友,一起看看吧

一、說明

本文主要是給大家介紹 OIDC 的核心概念以及如何通過對 Spring Security 的授權(quán)碼模式進(jìn)行擴(kuò)展來實現(xiàn) OIDC 的單點(diǎn)登錄。

OIDC 是 OpenID Connect 的簡稱,OIDC=(Identity, Authentication) + OAuth 2.0。它在 OAuth2 上構(gòu)建了一個身份層,是一個基于 OAuth2 協(xié)議的身份認(rèn)證標(biāo)準(zhǔn)協(xié)議。我們都知道 OAuth2 是一個授權(quán)協(xié)議,它無法提供完善的身份認(rèn)證功能,OIDC 使用 OAuth2 的授權(quán)服務(wù)器來為第三方客戶端提供用戶的身份認(rèn)證,并把對應(yīng)的身份認(rèn)證信息傳遞給客戶端,且完全兼容 OAuth2。

PS:理解 OIDC 的前提是需要理解 OAuth2,如果對 OAuth2 的單點(diǎn)登錄的原理和流程還不太了解的可以看我之前的文章《Spring Security基于Oauth2的SSO單點(diǎn)登錄怎樣做?一個注解搞定

二、OIDC核心概念

OAuth2 提供了 Access Token 來解決授權(quán)第三方 客戶端 訪問受保護(hù)資源的問題;OIDC 在這個基礎(chǔ)上提供了 ID Token 來解決第三方客戶端標(biāo)識用戶身份認(rèn)證的問題。OIDC 的核心在于 OAuth2 的授權(quán)流程中,一并提供用戶的身份認(rèn)證信息 ID Token 給到第三方 客戶端,ID Token 使用 JWT 格式來包裝。

OIDC協(xié)議授權(quán)返回示例:

{
    "resp_code": 200,
    "resp_msg": "ok",
    "datas": {
        "access_token": "d1186597-aeb4-4214-b176-08ec09b1f1ed",
        "token_type": "bearer",
        "refresh_token": "37fd65d8-f017-4b5a-9975-22b3067fb30b",
        "expires_in": 3599,
        "id_token": "eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJodHRwOi8vemx0MjAwMC5jbiIsImlhdCI6MTYyMTY5NjU4MjYxNSwiZXhwIjoxNjIxNjk2NjQyNjE1LCJzdWIiOiIxIiwibmFtZSI6IueuoeeQhuWRmCIsImxvZ2luX25hbWUiOiJhZG1pbiIsInBpY3R1cmUiOiJodHRwOi8vcGtxdG1uMHAxLmJrdC5jbG91ZGRuLmNvbS_lpLTlg48ucG5nIiwiYXVkIjoiYXBwIiwibm9uY2UiOiJ0NDlicGcifQ.UhsJpHYMWRmny45K0CygXeaASFawqtP2-zgWPDnn0XiBJ6yeiNo5QAwerjf9NFP1YBxuobRUzzhkzRikWGwzramNG9na0NPi4yUQjPNZitX1JzlIA8XSq4LNsuPKO7hS1ALqqiAEHS3oUqKAsjuE-ygt0fN9iVj2LyL3-GFpql0UAFIHhew_J7yIpR14snSh3iLVTmSWNknGu2boDvyO5LWonnUjkNB3XSGD0ukI3UEEFXBJWyOD9rPqfTDOy0sTG_-9wjDEV0WbtJf4FyfO3hPu--bwtM_U0kxRbfLnOujFXyVUStiCKG45wg7iI4Du2lamPJoJCplwjHKWdPc6Zw"
    }
}

可以看到與普通的 OAuth2 相比返回的信息中除了有 access_token 之外還多出了 id_token 屬性。

三、什么是 ID Token

ID Token 是一個安全令牌,由授權(quán)服務(wù)器提供的包含用戶信息的 JWT 格式的數(shù)據(jù)結(jié)構(gòu),得益于 JWT(JSON Web Token)的自包含性,緊湊性以及防篡改機(jī)制,使得 ID Token 可以安全的傳遞給第三方客戶端程序并且容易被驗證。

id_token包含以下內(nèi)容:

{
  "iss": "http://zlt2000.cn",
  "iat": 1621696582615,
  "exp": 1621696642615,
  "sub": "1",
  "name": "管理員",
  "login_name": "admin",
  "picture": "http://xxx/頭像.png",
  "aud": "app",
  "nonce": "t49bpg"
}
  • iss:令牌頒發(fā)者iat:令牌頒發(fā)時間戳
  • exp:令牌過期時間戳
  • sub:用戶
  • idname:用戶姓名
  • login_name:用戶登錄名
  • picture:用戶頭像
  • aud:令牌接收者,OAuth應(yīng)用
  • IDnonce:隨機(jī)字符串,用來防止重放攻擊

3.1. 與 JWT 的 Access Token 區(qū)別

是否可以直接使用 JWT 方式的 Access Token 并在 Payload 中加入用戶信息來代替 ID Token 呢?

雖然在 Access Token 中可以加入用戶的信息,并且是防篡改的,但是用戶的每次請求都需要攜帶著 Access Token,這樣不但增加了帶寬,而且很容易泄露用戶的信息。

3.2. 與 UserInfo 端點(diǎn)的區(qū)別

通常 OIDC 協(xié)議都需要另外提供了一個 Get /userinfo 的 Endpoint,需要通過 Access Token 調(diào)用該 Endpoint 來獲取詳細(xì)的用戶信息,這個方法和 ID Token 同樣都可以獲取用戶信息,那兩者有什么區(qū)別呢?

相比較于 Get /userinfo 的接口使用 ID Token 可以減少遠(yuǎn)程 API 調(diào)用的額外開銷;使用那個主要是看 需求,當(dāng)你只需要獲取用戶的基本信息直接使用 ID Token 就可以了,并不需要每次都通過 Access Token 去調(diào)用 Get /userinfo 獲取詳細(xì)的用戶信息。

四、OIDC 單點(diǎn)登錄流程

下面我們看一個 OIDC 協(xié)議常用的場景,就是具有 獨(dú)立用戶體系 系統(tǒng)間的單點(diǎn)登錄,意思指的是用戶數(shù)據(jù)并不是統(tǒng)一共用的,而是每個系統(tǒng)都擁有自己獨(dú)立的用戶數(shù)據(jù),所以流程最后增加了一步 自動注冊用戶。

大部分的流程與 OAuth2 的授權(quán)碼模式相同這里就不多講述了,其中下面兩個步驟需要說明一下:

  • 解析 ID Token 的公鑰可以是預(yù)先提供給第三方系統(tǒng)也可以是提供接口獲取。
  • 自動注冊用戶 指的是第一次單點(diǎn)登錄的時候,由于用戶信息不存在需要在本系統(tǒng)中生成該用戶數(shù)據(jù);例如你從未在 CSDN 中注冊也可以使用微信來登錄該網(wǎng)站。

五、Spring Security 實現(xiàn)

先說一下擴(kuò)展最終的目標(biāo)是需要達(dá)到以下效果:

  • 授權(quán)碼模式:/oauth/authorize?client_id={client_id}&redirect_uri={redirect_uri}&response_type=code
  • OIDC 模式:/oauth/authorize?client_id={client_id}&redirect_uri={redirect_uri}&response_type=code id_token

目標(biāo)是要通過在 response_type 中的傳值來控制是否使用 OIDC 模式,如果使用則在 response_type 中增加 id_token 的值。

由于需要在 OAuth2 返回的內(nèi)容中添加 ID Token 屬性,所以實現(xiàn)這個擴(kuò)展的關(guān)鍵就是需要通過 Security 的 TokenEnhancer 來為 Token 添加自定義字段;

定義 TokenEnhancer 的 Bean 來擴(kuò)展 Token:

通過授權(quán)的 response_type 參數(shù)來判斷是否需要生成 id_token。

生成 ID Token 的 JWT:

PS:上面只列出了部分關(guān)鍵代碼,完整代碼請通過下面的 demo 地址去下載。

六、完整的 demo 下載地址

https://gitee.com/zlt2000/microservices-platform/tree/master/zlt-demo/sso-demo/oidc-sso

到此這篇關(guān)于基于Security實現(xiàn)OIDC單點(diǎn)登錄的示例代碼的文章就介紹到這了,更多相關(guān)Security實現(xiàn)OIDC單點(diǎn)登錄內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!

相關(guān)文章

  • Java下SpringBoot創(chuàng)建定時任務(wù)詳解

    Java下SpringBoot創(chuàng)建定時任務(wù)詳解

    這篇文章主要介紹了Java下SpringBoot創(chuàng)建定時任務(wù)詳解,文中通過示例代碼介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧
    2020-07-07
  • Mybatis開啟控制臺打印sql語句方式

    Mybatis開啟控制臺打印sql語句方式

    這篇文章主要介紹了Mybatis開啟控制臺打印sql語句方式,具有很好的參考價值,希望對大家有所幫助,如有錯誤或未考慮完全的地方,望不吝賜教
    2024-07-07
  • java爬取并下載酷狗TOP500歌曲的方法

    java爬取并下載酷狗TOP500歌曲的方法

    這篇文章主要介紹了java爬取并下載酷狗TOP500歌曲的方法,非常具有實用價值,需要的朋友可以參考下
    2019-01-01
  • JAVA中STRING的常用方法小結(jié)

    JAVA中STRING的常用方法小結(jié)

    這篇文章介紹了JAVA中STRING的常用方法,有需要的朋友可以參考一下
    2013-09-09
  • Java8 HashMap的實現(xiàn)原理分析

    Java8 HashMap的實現(xiàn)原理分析

    Java8之后新增挺多新東西,接下來通過本文給大家介紹Java8 HashMap的實現(xiàn)原理分析,對java8 hashmap實現(xiàn)原理相關(guān)知識感興趣的朋友一起學(xué)習(xí)吧
    2016-03-03
  • Java DOM4J方式生成XML的方法

    Java DOM4J方式生成XML的方法

    今天小編就為大家分享一篇Java DOM4J方式生成XML的方法,具有很好的參考價值,希望對大家有所幫助。一起跟隨小編過來看看吧
    2018-07-07
  • 帶你了解Java數(shù)據(jù)結(jié)構(gòu)和算法之高級排序

    帶你了解Java數(shù)據(jù)結(jié)構(gòu)和算法之高級排序

    這篇文章主要為大家介紹了Java數(shù)據(jù)結(jié)構(gòu)和算法之高級排序,具有一定的參考價值,感興趣的小伙伴們可以參考一下,希望能夠給你帶來幫助
    2022-01-01
  • Mybatis配置之<properties>屬性配置元素解析

    Mybatis配置之<properties>屬性配置元素解析

    這篇文章主要介紹了Mybatis配置之<properties>屬性配置元素解析,具有很好的參考價值,希望對大家有所幫助。如有錯誤或未考慮完全的地方,望不吝賜教
    2021-07-07
  • 修改jar包package目錄結(jié)構(gòu)操作方法

    修改jar包package目錄結(jié)構(gòu)操作方法

    這篇文章主要介紹了修改jar包package目錄結(jié)構(gòu)操作方法,本文給大家介紹的非常詳細(xì),具有一定的參考借鑒價值 ,需要的朋友可以參考下
    2019-07-07
  • SpringBoot自定義Banner使用詳解

    SpringBoot自定義Banner使用詳解

    這篇文章主要介紹了SpringBoot自定義Banner使用詳解,啟動 Spring Boot 時,幾乎總是能在控制臺上方看到如下橫幅,這個也叫字符畫、英文ASCII藝術(shù)字,這就是banner,我們來看一下如何使用,需要的朋友可以參考下
    2024-01-01

最新評論