SSO的通用標準OpenID Connect

• 2020 年 12 月 15 日
• 筆記
• Java安全框架, Oauth2, openid, 安全, 授權框架, 程式那些事

簡介

OpenID Connect簡稱為OIDC，已成為Internet上單點登錄和身份管理的通用標準。 它在OAuth2上構建了一個身份層，是一個基於OAuth2協議的身份認證標準協議。

OAuth2實際上只做了授權，而OpenID Connect在授權的基礎上又加上了認證。

OIDC的優點是：簡單的基於JSON的身份令牌（JWT），並且完全兼容OAuth2協議。

今天我們將會介紹一下OIDC的具體原理。

OpenID Connect是什麼

OpenID Connect發佈於2014年，是建立在OAuth 2.0協議之上的簡單身份層，它允許客戶端基於授權伺服器或身份提供商（IdP）進行的身份驗證來驗證最終用戶的身份，並獲得用戶的相關資訊。

OpenID Connect提供了RESTful HTTP API，並使用Json作為數據的傳遞格式。

之前我們講到了基於XML格式的SAML協議，而OpenID Connect因為其更加簡潔的數據交換格式，被越來越多的應用使用，已經成為事實上的標準。

我們看一下OpenID connect的基本流程：

1. RP(client)發送一個認證請求到 OpenID Provider（OP）。

2. OP對End User進行認證並獲得相應的授權。

3. OP返回一個ID Token或者access Token給RP。

4. RP使用access token向UserInfo Endpoint請求用戶資訊。

5. UserInfo Endpoint返回相應的用戶資訊給RP。

ID Token

ID Token就像是一個用戶的身份證，它是以JWT格式存在的，並且由OP進行簽名，保證它的安全性。

獲取ID Token的方式就是向OP發送認證請求。

因為ID Token是以JWT格式存在的，JWT可以分為三個部分，分別是Header，Payload和Signature。

這裡我們主要關注一下Payload的json內容：

{
  "sub"       : "alice",
  "iss"       : "//openid.flydean.com",
  "aud"       : "client-12345",
  "nonce"     : "n-0S6_WzA2Mj",
  "auth_time" : 1311280969,
  "acr"       : "c2id.loa.hisec",
  "iat"       : 1311280970,
  "exp"       : 1311281970
}

• sub = Subject Identifier：必須。iss提供的EU的唯一標識；最長為255個ASCII個字元；
• iss = Issuer Identifier：必須。提供認證資訊者的唯一標識。一般是Url的host+path部分；
• aud = Audience(s)：必須。標識ID-Token的受眾。必須包含OAuth2的client_id；
• nonce：RP發送請求的時候提供的隨機字元串，用來減緩重放攻擊，也可以來關聯ID-Token和RP本身的Session資訊。
• auth_time = AuthenticationTime：EU完成認證的時間。如果RP發送認證請求的時候攜帶max_age的參數，則此Claim是必須的。
• acr = Authentication Context Class Reference：可選。表示一個認證上下文引用值，可以用來標識認證上下文類。
• iat = Issued At Time：必須。JWT的構建的時間。
• exp = Expiration time：必須。ID-Token的過期時間；

上面的是ID Token的標準Claims。

請求ID Token

現在我們知道了ID Token是什麼，那麼在OpenID Connect的RP客戶端如何請求一個ID Token呢？

雖然OpenID Connect並未指定應如何實際驗證用戶身份，這取決於提供者來決定。但是我們通常由Web瀏覽器來執行認證步驟。

瀏覽器將用戶重定向到認證伺服器的認證窗口，用戶輸入用戶名和密碼之後，通過OAuth 2.0協議請求ID token。

使用OAuth 2.0來獲取ID Token有3種方式：

1. Authorization Code模式

Authorization Code流程的步驟如下：

客戶端準備身份認證請求，請求里包含所需要的參數

客戶端發送請求到授權伺服器

授權伺服器對最紅用戶進行身份認證

授權服務得最終用戶的統一/授權

授權伺服器把最終用戶發送回客戶端，同時帶著授權碼

客戶端使用授權碼向Token端點請求一個響應

客戶端接收到響應，響應的Body裡面包含在和ID Token和Access Token

客戶端驗證ID Token，並獲得用戶的一些身份資訊

2. 隱式授權

上圖就是一個隱式授權的例子，和Authorization Code模式不同的是，認證伺服器返回的是一個access token片段，只有這個片段，我們是無法得到access token的。

這裡我們需要額外請求一次client resource伺服器，伺服器將會返回一個script腳本，通過這個腳本，我們對access token片段進行解析，得到最終的access token。

3. 混合模式

混合模式比較少用到，它是前面兩種模式的混合，它允許從前端和後端分別獲取token值。

ID Token可以做什麼

那麼我們拿到請求得到的ID Token可以做什麼事情呢？

1. 無狀態session，通過將token存儲在瀏覽器的cookie中，我們可以實現輕量級的無狀態會話。

伺服器端不需要存儲會話資訊，我們只需要在伺服器端對token進行驗證即可。

2. 可以將token傳遞給第三方，因為token本身並不是敏感資訊，所以我們可以將token傳遞給其他應用程式或者後端服務。

3. 令牌交互，我們可以通過ID Token去IdP伺服器中請求access token，從而起到了交互token的目的。

Open Connect認證碼授權的例子

這裡我們舉一個使用認證碼授權獲取到ID token的例子。

1. RP通過重定向到OpenID Provider的OAuth 2.0認證終端，來初始化一個用戶認證。

下面是一個重定向的例子：

HTTP/1.1 302 Found
Location: //openid.flydean.com/login?
          response_type=code
          &scope=openid
          &client_id=s6BhdRkqt3
          &state=af0ifjsldkj
          &redirect_uri=https%3A%2F%2Fclient.flydean.com%2Fcb

• response_type：因為我們是認證碼模式，這裡選擇code

• scope：openid表示請求的是openid。

• client_id：RP的client id，OP通過這個client_id來識別是否是可識別的RP。可以提前註冊或者提前約定。

• state：RP生成的一個狀態標準，主要為了防止攻擊。

• redirect_uri：認證完畢之後，跳轉的鏈接。

在OP端，將會檢測是否已經存在一個有效的用戶session，否則將會彈出用戶登錄介面，讓用戶登錄。

登錄成功之後，client將會重定向到redirect_uri，並帶上認證碼：

HTTP/1.1 302 Found
Location: //client.flydean.com/cb?
          code=SplxlOBeZQQYbYS6WxSbIA
          &state=af0ifjsldkj

2. 使用code獲取ID token

上面返回的code只是一個中間產物，RP需要將code提交給OP換取ID token。

這次我們直接使用一個後端的POST請求：

POST /token HTTP/1.1
Host: openid.flydean.com
Content-Type: application/x-www-form-urlencoded
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW

grant_type=authorization_code
 &code=SplxlOBeZQQYbYS6WxSbIA
 &redirect_uri=https%3A%2F%2Fclient.flydean.com%2Fcb

• grant_type:authorization_code表示是授權碼格式
• code就是上面一步獲得的code
• redirect_uri是callback url

如果成功，OP會返回一個JSON對象，帶有ID token, access token 或者 refresh token:

HTTP/1.1 200 OK
Content-Type: application/json
Cache-Control: no-store
Pragma: no-cache

{
  "id_token": "eyJhbGciOiJSUzI1NiIsImtpZCI6IjFlOWdkazcifQ.ewogImlzc
    yI6ICJodHRwOi8vc2VydmVyLmV4YW1wbGUuY29tIiwKICJzdWIiOiAiMjQ4Mjg5
    NzYxMDAxIiwKICJhdWQiOiAiczZCaGRSa3F0MyIsCiAibm9uY2UiOiAibi0wUzZ
    fV3pBMk1qIiwKICJleHAiOiAxMzExMjgxOTcwLAogImlhdCI6IDEzMTEyODA5Nz
    AKfQ.ggW8hZ1EuVLuxNuuIJKX_V8a_OMXzR0EHR9R6jgdqrOOF4daGU96Sr_P6q
    Jp6IcmD3HP99Obi1PRs-cwh3LO-p146waJ8IhehcwL7F09JdijmBqkvPeB2T9CJ
    NqeGpe-gccMg4vfKjkM8FcGvnzZUN4_KSP0aAp1tOJ1zZwgjxqGByKHiOtX7Tpd
    QyHE5lcMiKPXfEIQILVq0pc_E2DzL7emopWoaoZTF_m0_N0YzFC6g6EJbOEoRoS
    K5hoDalrcvRYLSrQAZZKflyuVCyixEoV9GfNQC3_osjzw2PAithfubEEBLuVVk4
    XUVrWOLrLl0nx7RkKU8NXNHq-rvKMzqg"
  "access_token": "SlAV32hkKG",
  "token_type": "Bearer",
  "expires_in": 3600,
}

其中ID token的格式是JWT。

User Info

我們獲取到的ID token裡面已經包含了一些非常有用的claims資訊。

事實上ID Token還可以包含其他的user info資訊：

比如name，profile，picture，email，gender，birthdate，phone_number，address等等有用的資訊。

我們可以在token請求的時候添加上額外的scope：

HTTP/1.1 302 Found
Location: //openid.flydean.com/login?
          response_type=code
          &scope=openid%20email
          &client_id=s6BhdRkqt3
          &state=af0ifjsldkj
          &redirect_uri=https%3A%2F%2Fclient.flydean.com%2Fcb

比如上面的例子中，我們添加了額外的email資訊，那麼OP將會在token中加入email選項。

比如：

{
   "sub"                     : "alice",
   "email"                   : "[email protected]",
   "email_verified"          : true,
   "name"                    : "Alice Adams",
   "given_name"              : "Alice",
   "family_name"             : "Adams",
   "phone_number"            : "+86 18888888888",
   "profile"                 : "//flydean.com/users/alice"
}

本文作者：flydean程式那些事

本文鏈接：//www.flydean.com/openid-connect-startup/

本文來源：flydean的部落格

歡迎關注我的公眾號:「程式那些事」最通俗的解讀，最深刻的乾貨，最簡潔的教程，眾多你不知道的小技巧等你來發現！