
一、說明
本文主要是給大家介紹 OIDC 的核心概念以及如何通過對 Spring Security 的授權碼模式進行擴展來實作 OIDC 的單點登錄,
OIDC 是 OpenID Connect 的簡稱,OIDC=(Identity, Authentication) + OAuth 2.0,它在 OAuth2 上構建了一個身份層,是一個基于 OAuth2 協議的身份認證標準協議,我們都知道 OAuth2 是一個授權協議,它無法提供完善的身份認證功能,OIDC 使用 OAuth2 的授權服務器來為第三方客戶端提供用戶的身份認證,并把對應的身份認證資訊傳遞給客戶端,且完全兼容 OAuth2,
PS:理解 OIDC 的前提是需要理解 OAuth2,如果對 OAuth2 的單點登錄的原理和流程還不太了解的可以看我之前的文章《Spring Security基于Oauth2的SSO單點登錄怎樣做?一個注解搞定》
二、OIDC核心概念
OAuth2 提供了 Access Token 來解決授權第三方 客戶端 訪問受保護資源的問題;OIDC 在這個基礎上提供了 ID Token 來解決第三方客戶端標識用戶身份認證的問題,OIDC 的核心在于 OAuth2 的授權流程中,一并提供用戶的身份認證資訊 ID Token 給到第三方 客戶端,ID Token 使用 JWT 格式來包裝,
OIDC協議授權回傳示例:
{
"resp_code": 200,
"resp_msg": "ok",
"datas": {
"access_token": "d1186597-aeb4-4214-b176-08ec09b1f1ed",
"token_type": "bearer",
"refresh_token": "37fd65d8-f017-4b5a-9975-22b3067fb30b",
"expires_in": 3599,
"id_token": "eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJodHRwOi8vemx0MjAwMC5jbiIsImlhdCI6MTYyMTY5NjU4MjYxNSwiZXhwIjoxNjIxNjk2NjQyNjE1LCJzdWIiOiIxIiwibmFtZSI6IueuoeeQhuWRmCIsImxvZ2luX25hbWUiOiJhZG1pbiIsInBpY3R1cmUiOiJodHRwOi8vcGtxdG1uMHAxLmJrdC5jbG91ZGRuLmNvbS_lpLTlg48ucG5nIiwiYXVkIjoiYXBwIiwibm9uY2UiOiJ0NDlicGcifQ.UhsJpHYMWRmny45K0CygXeaASFawqtP2-zgWPDnn0XiBJ6yeiNo5QAwerjf9NFP1YBxuobRUzzhkzRikWGwzramNG9na0NPi4yUQjPNZitX1JzlIA8XSq4LNsuPKO7hS1ALqqiAEHS3oUqKAsjuE-ygt0fN9iVj2LyL3-GFpql0UAFIHhew_J7yIpR14snSh3iLVTmSWNknGu2boDvyO5LWonnUjkNB3XSGD0ukI3UEEFXBJWyOD9rPqfTDOy0sTG_-9wjDEV0WbtJf4FyfO3hPu--bwtM_U0kxRbfLnOujFXyVUStiCKG45wg7iI4Du2lamPJoJCplwjHKWdPc6Zw"
}
}
可以看到與普通的 OAuth2 相比回傳的資訊中除了有 access_token 之外還多出了 id_token 屬性,
三、什么是 ID Token
ID Token 是一個安全令牌,由授權服務器提供的包含用戶資訊的 JWT 格式的資料結構,得益于 JWT(JSON Web Token)的自包含性,緊湊性以及防篡改機制,使得 ID Token 可以安全的傳遞給第三方客戶端程式并且容易被驗證,
id_token包含以下內容:
{
"iss": "http://zlt2000.cn",
"iat": 1621696582615,
"exp": 1621696642615,
"sub": "1",
"name": "管理員",
"login_name": "admin",
"picture": "http://xxx/頭像.png",
"aud": "app",
"nonce": "t49bpg"
}
- iss:令牌頒發者
- iat:令牌頒發時間戳
- exp:令牌過期時間戳
- sub:用戶id
- name:用戶姓名
- login_name:用戶登錄名
- picture:用戶頭像
- aud:令牌接收者,OAuth應用ID
- nonce:隨機字串,用來防止重放攻擊
3.1. 與 JWT 的 Access Token 區別
是否可以直接使用 JWT 方式的 Access Token 并在 Payload 中加入用戶資訊來代替 ID Token 呢?
雖然在 Access Token 中可以加入用戶的資訊,并且是防篡改的,但是用戶的每次請求都需要攜帶著 Access Token,這樣不但增加了帶寬,而且很容易泄露用戶的資訊,
3.2. 與 UserInfo 端點的區別
通常 OIDC 協議都需要另外提供了一個 Get /userinfo 的 Endpoint,需要通過 Access Token 呼叫該 Endpoint 來獲取詳細的用戶資訊,這個方法和 ID Token 同樣都可以獲取用戶資訊,那兩者有什么區別呢?
相比較于 Get /userinfo 的介面使用 ID Token 可以減少遠程 API 呼叫的額外開銷;使用那個主要是看 需求,當你只需要獲取用戶的基本資訊直接使用 ID Token 就可以了,并不需要每次都通過 Access Token 去呼叫 Get /userinfo 獲取詳細的用戶資訊,
四、OIDC 單點登錄流程
下面我們看一個 OIDC 協議常用的場景,就是具有 獨立用戶體系 系統間的單點登錄,意思指的是用戶資料并不是統一共用的,而是每個系統都擁有自己獨立的用戶資料,所以流程最后增加了一步 自動注冊用戶,

大部分的流程與 OAuth2 的授權碼模式相同這里就不多講述了,其中下面兩個步驟需要說明一下:
- 決議 ID Token 的公鑰可以是預先提供給第三方系統也可以是提供介面獲取,
- 自動注冊用戶 指的是第一次單點登錄的時候,由于用戶資訊不存在需要在本系統中生成該用戶資料;例如你從未在 CSDN 中注冊也可以使用微信來登錄該網站,
五、Spring Security 實作
先說一下擴展最終的目標是需要達到以下效果:
- 授權碼模式:
/oauth/authorize?client_id={client_id}&redirect_uri={redirect_uri}&response_type=code - OIDC 模式:
/oauth/authorize?client_id={client_id}&redirect_uri={redirect_uri}&response_type=code id_token
目標是要通過在 response_type 中的傳值來控制是否使用 OIDC 模式,如果使用則在 response_type 中增加 id_token 的值,
由于需要在 OAuth2 回傳的內容中添加 ID Token 屬性,所以實作這個擴展的關鍵就是需要通過 Security 的 TokenEnhancer 來為 Token 添加自定義欄位;
定義 TokenEnhancer 的 Bean 來擴展 Token:

通過授權的 response_type 引數來判斷是否需要生成 id_token,
生成 ID Token 的 JWT:

PS:上面只列出了部分關鍵代碼,完整代碼請通過下面的 demo 地址去下載,
六、完整的 demo 下載地址
https://gitee.com/zlt2000/microservices-platform/tree/master/zlt-demo/sso-demo/oidc-sso
掃碼關注有驚喜!

轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/303689.html
標籤:其他
