一、說明

本文主要是給大家介紹 OIDC 的核心概念以及如何通過對(duì) Spring Security 的授權(quán)碼模式進(jìn)行擴(kuò)展來實(shí)現(xiàn) OIDC 的單點(diǎn)登錄。

OIDC 是 OpenID Connect 的簡(jiǎn)稱，OIDC=(Identity, Authentication) + OAuth 2.0。它在 OAuth2 上構(gòu)建了一個(gè)身份層，是一個(gè)基于 OAuth2 協(xié)議的身份認(rèn)證標(biāo)準(zhǔn)協(xié)議。我們都知道 OAuth2 是一個(gè)授權(quán)協(xié)議，它無法提供完善的身份認(rèn)證功能，OIDC 使用 OAuth2 的授權(quán)服務(wù)器來為第三方客戶端提供用戶的身份認(rèn)證，并把對(duì)應(yīng)的身份認(rèn)證信息傳遞給客戶端，且完全兼容 OAuth2。

PS：理解 OIDC 的前提是需要理解 OAuth2，如果對(duì) OAuth2 的單點(diǎn)登錄的原理和流程還不太了解的可以看我之前的文章《Spring Security基于Oauth2的SSO單點(diǎn)登錄怎樣做？一個(gè)注解搞定》

二、OIDC核心概念

OAuth2 提供了 Access Token 來解決授權(quán)第三方 客戶端 訪問受保護(hù)資源的問題；OIDC 在這個(gè)基礎(chǔ)上提供了 ID Token 來解決第三方客戶端標(biāo)識(shí)用戶身份認(rèn)證的問題。OIDC 的核心在于 OAuth2 的授權(quán)流程中，一并提供用戶的身份認(rèn)證信息 ID Token 給到第三方 客戶端，ID Token 使用 JWT 格式來包裝。

OIDC協(xié)議授權(quán)返回示例：

{
  "resp_code": 200,
  "resp_msg": "ok",
  "datas": {
      "access_token": "d1186597-aeb4-4214-b176-08ec09b1f1ed",
      "token_type": "bearer",
      "refresh_token": "37fd65d8-f017-4b5a-9975-22b3067fb30b",
      "expires_in": 3599,
      "id_token": "eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJodHRwOi8vemx0MjAwMC5jbiIsImlhdCI6MTYyMTY5NjU4MjYxNSwiZXhwIjoxNjIxNjk2NjQyNjE1LCJzdWIiOiIxIiwibmFtZSI6IueuoeeQhuWRmCIsImxvZ2luX25hbWUiOiJhZG1pbiIsInBpY3R1cmUiOiJodHRwOi8vcGtxdG1uMHAxLmJrdC5jbG91ZGRuLmNvbS_lpLTlg48ucG5nIiwiYXVkIjoiYXBwIiwibm9uY2UiOiJ0NDlicGcifQ.UhsJpHYMWRmny45K0CygXeaASFawqtP2-zgWPDnn0XiBJ6yeiNo5QAwerjf9NFP1YBxuobRUzzhkzRikWGwzramNG9na0NPi4yUQjPNZitX1JzlIA8XSq4LNsuPKO7hS1ALqqiAEHS3oUqKAsjuE-ygt0fN9iVj2LyL3-GFpql0UAFIHhew_J7yIpR14snSh3iLVTmSWNknGu2boDvyO5LWonnUjkNB3XSGD0ukI3UEEFXBJWyOD9rPqfTDOy0sTG_-9wjDEV0WbtJf4FyfO3hPu--bwtM_U0kxRbfLnOujFXyVUStiCKG45wg7iI4Du2lamPJoJCplwjHKWdPc6Zw"
  }
}

可以看到與普通的 OAuth2 相比返回的信息中除了有 access_token 之外還多出了 id_token 屬性。

三、什么是 ID Token

ID Token 是一個(gè)安全令牌，由授權(quán)服務(wù)器提供的包含用戶信息的 JWT 格式的數(shù)據(jù)結(jié)構(gòu)，得益于 JWT（JSON Web Token）的自包含性，緊湊性以及防篡改機(jī)制，使得 ID Token 可以安全的傳遞給第三方客戶端程序并且容易被驗(yàn)證。

id_token包含以下內(nèi)容：

{
"iss": "http://zlt2000.cn",
"iat": 1621696582615,
"exp": 1621696642615,
"sub": "1",
"name": "管理員",
"login_name": "admin",
"picture": "http://xxx/頭像.png",
"aud": "app",
"nonce": "t49bpg"
}

• iss：令牌頒發(fā)者iat：令牌頒發(fā)時(shí)間戳
• exp：令牌過期時(shí)間戳
• sub：用戶
• idname：用戶姓名
• login_name：用戶登錄名
• picture：用戶頭像
• aud：令牌接收者，OAuth應(yīng)用
• IDnonce：隨機(jī)字符串，用來防止重放攻擊

3.1. 與 JWT 的 Access Token 區(qū)別

是否可以直接使用 JWT 方式的 Access Token 并在 Payload 中加入用戶信息來代替 ID Token 呢？

雖然在 Access Token 中可以加入用戶的信息，并且是防篡改的，但是用戶的每次請(qǐng)求都需要攜帶著 Access Token，這樣不但增加了帶寬，而且很容易泄露用戶的信息。

3.2. 與 UserInfo 端點(diǎn)的區(qū)別

通常 OIDC 協(xié)議都需要另外提供了一個(gè) Get /userinfo 的 Endpoint，需要通過 Access Token 調(diào)用該 Endpoint 來獲取詳細(xì)的用戶信息，這個(gè)方法和 ID Token 同樣都可以獲取用戶信息，那兩者有什么區(qū)別呢？

相比較于 Get /userinfo 的接口使用 ID Token 可以減少遠(yuǎn)程 API 調(diào)用的額外開銷；使用那個(gè)主要是看 需求，當(dāng)你只需要獲取用戶的基本信息直接使用 ID Token 就可以了，并不需要每次都通過 Access Token 去調(diào)用 Get /userinfo 獲取詳細(xì)的用戶信息。

四、OIDC 單點(diǎn)登錄流程

下面我們看一個(gè) OIDC 協(xié)議常用的場(chǎng)景，就是具有 獨(dú)立用戶體系 系統(tǒng)間的單點(diǎn)登錄，意思指的是用戶數(shù)據(jù)并不是統(tǒng)一共用的，而是每個(gè)系統(tǒng)都擁有自己獨(dú)立的用戶數(shù)據(jù)，所以流程最后增加了一步 自動(dòng)注冊(cè)用戶。

大部分的流程與 OAuth2 的授權(quán)碼模式相同這里就不多講述了，其中下面兩個(gè)步驟需要說明一下：

• 解析 ID Token 的公鑰可以是預(yù)先提供給第三方系統(tǒng)也可以是提供接口獲取。
• 自動(dòng)注冊(cè)用戶 指的是第一次單點(diǎn)登錄的時(shí)候，由于用戶信息不存在需要在本系統(tǒng)中生成該用戶數(shù)據(jù)；例如你從未在 CSDN 中注冊(cè)也可以使用微信來登錄該網(wǎng)站。

五、Spring Security 實(shí)現(xiàn)

先說一下擴(kuò)展最終的目標(biāo)是需要達(dá)到以下效果：

• 授權(quán)碼模式：/oauth/authorize?client_id={client_id}&redirect_uri={redirect_uri}&response_type=code
• OIDC 模式：/oauth/authorize?client_id={client_id}&redirect_uri={redirect_uri}&response_type=code id_token

目標(biāo)是要通過在 response_type 中的傳值來控制是否使用 OIDC 模式，如果使用則在 response_type 中增加 id_token 的值。

由于需要在 OAuth2 返回的內(nèi)容中添加 ID Token 屬性，所以實(shí)現(xiàn)這個(gè)擴(kuò)展的關(guān)鍵就是需要通過 Security 的 TokenEnhancer 來為 Token 添加自定義字段；

定義 TokenEnhancer 的 Bean 來擴(kuò)展 Token：

通過授權(quán)的 response_type 參數(shù)來判斷是否需要生成 id_token。

生成 ID Token 的 JWT：

PS：上面只列出了部分關(guān)鍵代碼，完整代碼請(qǐng)通過下面的 demo 地址去下載。

六、完整的 demo 下載地址

https://gitee.com/zlt2000/microservices-platform/tree/master/zlt-demo/sso-demo/oidc-sso

到此這篇關(guān)于基于Security實(shí)現(xiàn)OIDC單點(diǎn)登錄的示例代碼的文章就介紹到這了,更多相關(guān)Security實(shí)現(xiàn)OIDC單點(diǎn)登錄內(nèi)容請(qǐng)搜索服務(wù)器之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持服務(wù)器之家！

原文鏈接：https://www.cnblogs.com/zlt2000/p/15346177.html