OIDC及其在RESTful AP与SPA架构下的SSO实现思路(第一版)

OIDC及其在RESTful AP与SPA架构下的SSO实现思路(第一版)

技术杂谈小彩虹2021-08-15 8:43:08330A+A-

前言

最近在对基于token做身份认证的项目中扩展sso。

背景

项目大致架构如下

其中服务器端是RESTful风格的API服务器,客户端基于Vue开发的SPA。

身份认证是基于token,客户端登录之后,服务器端验证并发送JWT token给客户端,客户端将token存入localStorage中并每次恢复到Vuex中,客户端每次请求都会在HTTP自定义头部中附带token。

本文简述下我对OIDC解决方案的简单理解以及基于上述架构实现sso的思路。

正文

OIDC的官方解释如下

OpenID Connect 1.0 is a simple identity layer on top of the OAuth 2.0 protocol. It allows Clients to verify the identity of the End-User based on the authentication performed by an Authorization Server, as well as to obtain basic profile information about the End-User in an interoperable and REST-like manner.

也就是OAuth2.0只解决了资源的访问和分享,OIDC则基于此实现了用户的认证。它的主要目的是提供一次登录,多个站点享有登录状态。也就是当用户在某一使用OIDC的网站登录时,用户被重定向到OpenID站点登录,然后重定向回原来网站。

OIDC已经有很多的企业在使用,比如Google的账号认证授权体系,Microsoft的账号体系也部署了OIDC,当然这些企业有的也是OIDC背后的推动者。

OAuth2提供了Access Token来解决授权第三方客户端访问受保护资源的问题;相似的,OIDC在这个基础上提供了ID Token来解决第三方客户端标识用户身份认证的问题。OIDC的核心在于在OAuth2的授权流程中,一并提供用户的身份认证信息(ID-Token)给到第三方客户端,ID-Token使用JWT格式来包装,得益于JWT(JSON Web Token)的自包含性,紧凑性以及防篡改机制,使得ID-Token可以安全的传递给第三方客户端程序并且容易被验证。应用服务器,在验证ID-Token正确之后,使用Access-Token向接口换取用户的更多的信息。

OIDC到底怎么运行的

第一期先从简,也不讨论什么OIDC协议族,就单单说一下OIDC是怎么运作的。以还是以午安网举例。

如果我要使用大午安账号登入午安空间网站,那么这个大致流程如下:

使用Implicit Flow

  1. 首先午安空间会发送授权请求给oidc-server
  2. 如果已经登录了,oidc-server会返回一个“证件”或者如果你没登录会要求你登录,然后询问你是否授权给午安空间某些权限比如邮件地址等(当然午安这个例子里面不存在,因为肯定都是全权限)。
  3. 一旦你确定并授权了这次登录,oidc-server会发送Acess-Token和ID Token(如果要求了),并跳转回午安空间网站。(可以通过url附带)
  4. (认证) 午安空间网站获得ID-Token之后,使用oidc-server提供的公钥解密验证。
  5. 然后午安空间就可以通过之前得到的Access-Token去访问oidc-server获取用户信息了

午安网实现SSO的全流程设计

设计可能比较粗糙或者有问题,如果有问题希望评论一下帮我修正修正。 设计使用的是Implicit Flow。

单点登录

主动登出

没啥好说的,客户端清理自己的状态,然后发出登出请求给oidc-server。

被动登出

这块就找到了一个网上的例子

其利用oipc协议族里的Discovery服务中提供的一个check_session_iframe接口。

核心原理是让客户端插入一个oidc-server页面的iframe并周期性的检查,当我在“午安空间”点击登出的时候,会发出登出请求给oidc-server并触发oidc-server的站点清理自己的cookie,然后在之前客户端中使用check_session_iframe这个隐藏的iframe可以检测到这种变化,从而使得客户端可以得知用户已在再其他的应用的客户端退出登录,这时候就清理自己客户端的登录状态。

例子中的客户端代码

后记

这部分放的是下版本要加的或者完善的。

了解下Authorization Code Flow。

自动登录补充

如果只有上面的解决方案的话会存在一个问题,那就是如果我sso已登录,我到另一个网站比如午安影视,我需要点击登入之后才会出现登录状态。也就是说没有自动登录。

一个实现的方法是可以在一开始就去访问oidc-server询问是否已经登录,oidc-server的协议族Discovery提供一个接口。

后记

优秀的参考资料

OpenID Connect

点击这里复制本文地址 以上内容由权冠洲的博客整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!

支持Ctrl+Enter提交

联系我们| 本站介绍| 留言建议 | 交换友链 | 域名展示
本站资源来自互联网收集,仅供用于学习和交流,请遵循相关法律法规,本站一切资源不代表本站立场,如有侵权、后门、不妥请联系本站删除

权冠洲的博客 © All Rights Reserved.  Copyright quanguanzhou.top All Rights Reserved
苏公网安备 32030302000848号   苏ICP备20033101号-1
本网站由 提供CDN/云存储服务

联系我们