【揭秘OIDC协议 — Java安全认证框架的核心基石】 从初识到精通,带你领略OIDC协议的奥秘,告别SSO的迷茫与困惑

简介: 【揭秘OIDC协议 — Java安全认证框架的核心基石】 从初识到精通,带你领略OIDC协议的奥秘,告别SSO的迷茫与困惑

前提介绍

前面的两篇文章已经介绍了Saml协议和OAuth2.0协议,接下来我们介绍另外一个的认证协议:OpenID Connect(OIDC)。

OIDC协议

OpenID Connect(OIDC)协议于2014年发布,在OAuth 2.0协议的基础上建立了一个简单的身份层。通过该协议,客户端可以使用授权服务器或身份提供商(IdP)进行身份验证,以验证最终用户的身份并获取其相关信息。

OpenID Connect(OIDC)已成为互联网上单点登录(SSO)和身份管理的通用标准。OIDC的优势在于其简单的基于JSON的身份令牌(JWT),同时与OAuth2协议完全兼容,提供了灵活的身份管理机制。在本文中,我们将深入探讨OIDC的工作原理,旨在帮助读者更好地理解和应用该协议。

OIDC优势

  • 对比Saml协议:OpenID Connect采用了RESTful HTTP API,并使用JSON作为数据传输格式。相对于基于XML的SAML协议,OpenID Connect由于其更简洁的数据交换格式,被越来越多的应用所采用,并成为了事实上的标准。
  • 对比OAuth2.0:OpenID Connect在OAuth2协议基础上构建了身份认证层,实现了身份验证和授权的双重功能。相比于仅提供授权功能的OAuth2协议,OIDC通过添加身份认证能力提供了更全面的解决方案。

基本流程

我们深入探索一下OpenID Connect的核心流程,整体流程如下图所示:

OpenID Connect的核心流程

这个流程确保了客户端可以安全地获取到用户的身份信息,同时保护了用户的隐私和安全,我们总结为一下几个步骤:

  1. 客户端(RP)首先向身份提供者(OP)发起认证请求。
  2. 身份提供者(OP)会进行一系列的认证流程,确保最终用户的身份真实有效,并获得用户给予的相应授权。
  3. 一旦完成认证和授权,身份提供者(OP)将生成一个ID Token或access Token,并将其安全地返回给客户端(RP)。
  4. 客户端(RP)收到Token后,使用access Token向用户信息端点(UserInfo Endpoint)发起请求,以获取用户的详细信息。
  5. 用户信息端点(UserInfo Endpoint)在验证access Token的有效性后,将准确、完整的用户信息返回给客户端(RP)。

核心凭证(ID Token)

ID Token,如同用户的数字化身份证,采用JWT(JSON Web Token)格式精心设计。为了确保其安全性,整个Token由OP进行签名。 要获取ID Token,用户只需向OP发送认证请求。

ID Token的组成

ID Token是以JWT格式生成的,因此具有三部分结构:Header、Payload和Signature。

ID Token的格式

ID Token是一种自包含、可验证的令牌格式:

  • Header和Payload都是Base64编码的,可以被任何人读取。
  • Signature是用私钥对Header和Payload进行签名得到的,用于验证Token的真实性和完整性
ID Token计算公式

例如,签名过程使用了一种散列算法(如SHA-256),将Header和Payload进行散列,然后使用私钥进行加密得到Signature。

JWT的签名算法有多种,其中最常见的是HMAC和RSA。以下是HMAC的算法公式:

scss

复制代码

HMAC = base64Url(Header) + "." + base64Url(Payload) + "." + base64Url(Signature)
Header

Header包含加密算法等信息,用于生成签名,通常包含两个主要信息:令牌类型(typ)和所用的加密算法(alg)。

  • 令牌类型(typ):指示该令牌类型为JWT。
  • 加密算法(alg):指示用于对令牌进行签名的算法,例如HMAC、RSA或者其他加密算法。

示例:{ "alg": "HS256", "typ": "JWT" }

在JWT的Header中,常见的加密算法有HS256(HMAC with SHA-256)和RS256(RSA with SHA-256)等。

Payload

Payload部分通常包含用户信息和其他业务需要的数据,例如用户ID、用户角色、权限、客户端信息、过期时间等。具体来说,Payload的内容可以分为以下两大种:

第一种是Registered Claims:一组预定义的声明,这些字段遵循JWT标准,但并非强制要求携带,如下图所示: 第二种是Public Claims:可以自定义的声明,通常用于存放用户ID、用户类别等非敏感信息。

Payload结构体

json

复制代码

{
  "sub"       : "alex",
  "iss"       : "https://openid.xxxx.com",
  "aud"       : "client-12345",
  "nonce"     : "w-s0S6_WzA2Mj",
  "auth_time" : 1311280969,
  "acr"       : "c2id.loa.hisec",
  "iat"     : 1516239022,  
  "exp"     : 1535974630  
}

上面的是ID Token的标准Claims。

Signature

Signature是用私钥对Header和Payload进行签名得到的,用于验证Token的真实性和完整性

  • 私钥进行签名,相当于给这些信息加了一把锁,只有拥有相应公钥的接收方才能解开这把锁,验证信息的真实性和完整性。
  • 接收方接收到Token时,它会使用公钥来验证签名。

如果签名验证通过,说明Token未被篡改,且是由拥有相应私钥的发送方签发的,因此具有真实性和完整性。

Signature的计算公式

以HMAC算法为例,其计算公式如下:

scss

复制代码

Signature = HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)

在这个公式中,HMACSHA256是使用SHA-256散列算法的HMAC签名方法,secret是用于签名的密钥。

ID Token的这三部分共同构成了ID Token的完整性,并确保其内容在传输过程中未被篡改。这种结构使得ID Token成为一种安全、可靠的身份验证机制,广泛应用于各种在线服务中。

请求获取ID Token

尽管OpenID Connect并未明确规定用户身份的具体验证方法,而是留给了Provider来决定,但通常,这一过程是由Web浏览器来执行的。

首先,浏览器会将用户重定向到认证服务器,在那里,用户会看到一个认证窗口,用户输入用户名和密码后,会通过OAuth 2.0协议发出请求以获取ID Token。

OAuth 2.0来获取ID Token

Authorization Code模式

  1. 客户端会将其发送至授权服务器。这个服务器承担着对最终用户进行身份验证的重要任务。验证过程可能包括检查用户提供的凭证,如用户名和密码,或使用多因素认证等更高级的验证方法。
  2. 一旦用户通过验证,授权服务器会生成一个授权码。这个授权码是用户已通过验证的凭证,并且将在后续的步骤中使用。
  3. 授权服务器随后将最终用户与授权码一起返回给客户端。这一步确保了客户端能够获得用户的身份信息,同时保持了用户的隐私和安全性。
  4. 客户端使用这个授权码向Token端点发起请求。这个端点是生成身份验证令牌的地方,通过使用授权码,客户端可以获得一个响应。
  5. 当客户端接收到响应后,会发现响应的Body中包含了ID Token和Access Token。这两个令牌是OpenID Connect协议的核心部分,ID Token包含了用户的身份信息,而Access Token则用于授权客户端对受保护资源的访问。

此外,其他OAuth2.0协议的流程与之类似,又想了解的可以查看我对应的文章:《【揭秘OAuth协议 — Java安全认证框架的核心基石】 从初识到精通,带你领略OAuth协议的奥秘,告别SSO的迷茫与困惑》

ID Token可以做什么

当我们获得请求返回的ID Token时,我们有哪些操作的可能性呢?

  • 利用ID Token,我们可以在浏览器中实现一种无状态的会话管理。通过将Token存储在浏览器的cookie中,服务器端不再需要存储会话信息。这样,我们只需要在服务器端验证Token的真实性,就可以轻松管理用户的会话状态。
  • ID Token还可以安全地传递给第三方应用程序或后端服务。由于Token本身并不是敏感信息,因此我们可以放心地将它分享给其他服务,以实现跨应用程序的身份验证和授权。
  • ID Token还可以用于与其他服务进行交互。例如,我们可以通过ID Token向Identity Provider服务器请求access token,从而在多个服务之间安全地传递和验证用户的身份。
相关文章
|
6天前
|
JSON Java Apache
非常实用的Http应用框架,杜绝Java Http 接口对接繁琐编程
UniHttp 是一个声明式的 HTTP 接口对接框架,帮助开发者快速对接第三方 HTTP 接口。通过 @HttpApi 注解定义接口,使用 @GetHttpInterface 和 @PostHttpInterface 等注解配置请求方法和参数。支持自定义代理逻辑、全局请求参数、错误处理和连接池配置,提高代码的内聚性和可读性。
|
26天前
|
算法 Java 数据处理
从HashSet到TreeSet,Java集合框架中的Set接口及其实现类以其“不重复性”要求,彻底改变了处理唯一性数据的方式。
从HashSet到TreeSet,Java集合框架中的Set接口及其实现类以其“不重复性”要求,彻底改变了处理唯一性数据的方式。HashSet基于哈希表实现,提供高效的元素操作;TreeSet则通过红黑树实现元素的自然排序,适合需要有序访问的场景。本文通过示例代码详细介绍了两者的特性和应用场景。
36 6
|
26天前
|
存储 Java
深入探讨了Java集合框架中的HashSet和TreeSet,解析了两者在元素存储上的无序与有序特性。
【10月更文挑战第16天】本文深入探讨了Java集合框架中的HashSet和TreeSet,解析了两者在元素存储上的无序与有序特性。HashSet基于哈希表实现,添加元素时根据哈希值分布,遍历时顺序不可预测;而TreeSet利用红黑树结构,按自然顺序或自定义顺序存储元素,确保遍历时有序输出。文章还提供了示例代码,帮助读者更好地理解这两种集合类型的使用场景和内部机制。
35 3
|
26天前
|
存储 Java 数据处理
Java Set接口凭借其独特的“不重复”特性,在集合框架中占据重要地位
【10月更文挑战第16天】Java Set接口凭借其独特的“不重复”特性,在集合框架中占据重要地位。本文通过快速去重和高效查找两个案例,展示了Set如何简化数据处理流程,提升代码效率。使用HashSet可轻松实现数据去重,而contains方法则提供了快速查找的功能,彰显了Set在处理大量数据时的优势。
32 2
|
28天前
|
存储 算法 Java
Java Set因其“无重复”特性在集合框架中独树一帜
【10月更文挑战第14天】Java Set因其“无重复”特性在集合框架中独树一帜。本文深入解析Set接口及其主要实现类(如HashSet、TreeSet)如何通过特定的数据结构(哈希表、红黑树)确保元素唯一性,并提供最佳实践建议,包括选择合适的Set实现类和正确实现自定义对象的`hashCode()`与`equals()`方法。
27 3
|
15天前
|
人工智能 前端开发 Java
基于开源框架Spring AI Alibaba快速构建Java应用
本文旨在帮助开发者快速掌握并应用 Spring AI Alibaba,提升基于 Java 的大模型应用开发效率和安全性。
基于开源框架Spring AI Alibaba快速构建Java应用
|
15天前
|
消息中间件 Java 数据库连接
Java 反射最全详解 ,框架设计必掌握!
本文详细解析Java反射机制,包括反射的概念、用途、实现原理及应用场景。关注【mikechen的互联网架构】,10年+BAT架构经验倾囊相授。
Java 反射最全详解 ,框架设计必掌握!
|
23天前
|
前端开发 Java 数据库连接
Spring 框架:Java 开发者的春天
Spring 框架是一个功能强大的开源框架,主要用于简化 Java 企业级应用的开发,由被称为“Spring 之父”的 Rod Johnson 于 2002 年提出并创立,并由Pivotal团队维护。
42 1
Spring 框架:Java 开发者的春天
|
12天前
|
存储 缓存 安全
Java内存模型(JMM):深入理解并发编程的基石####
【10月更文挑战第29天】 本文作为一篇技术性文章,旨在深入探讨Java内存模型(JMM)的核心概念、工作原理及其在并发编程中的应用。我们将从JMM的基本定义出发,逐步剖析其如何通过happens-before原则、volatile关键字、synchronized关键字等机制,解决多线程环境下的数据可见性、原子性和有序性问题。不同于常规摘要的简述方式,本摘要将直接概述文章的核心内容,为读者提供一个清晰的学习路径。 ####
33 2
|
21天前
|
SQL Java 关系型数据库
java连接mysql查询数据(基础版,无框架)
【10月更文挑战第12天】该示例展示了如何使用Java通过JDBC连接MySQL数据库并查询数据。首先在项目中引入`mysql-connector-java`依赖,然后通过`JdbcUtil`类中的`main`方法实现数据库连接、执行SQL查询及结果处理,最后关闭相关资源。