电脑之家 - 专业计算机基础知识与电脑技术学习网站
分类导航

路由器|交换机|网络协议|网络知识|

服务器之家 - 电脑之家 - 网络技术 - 网络协议 - OAuth2.0协议扩展——OIDC认证协议

OAuth2.0协议扩展——OIDC认证协议

2021-08-02 23:55码农小胖哥 网络协议

客户端无法认定资源拥有者就是正确的拥护者,虽然市面上的OAuth 2.0能够保证授权的安全性,但是OAuth 2.0本身并没有对用户认证提供明确的规范。

OAuth2.0协议扩展——OIDC认证协议

前言

 

在上一文里我们通过一个例子回顾了OAuth 2.0的流程,同时指出了OAuth 2.0的局限性:客户端无法认定资源拥有者就是正确的拥护者,虽然市面上的OAuth 2.0能够保证授权的安全性,但是OAuth 2.0本身并没有对用户认证提供明确的规范。这就是OIDC产生的契机。

OIDC

 

OIDC是OAuth 2.0的一个变种。

OIDC(OpenID Connect)建立在Auth 2.0的流程之上,提出了终端用户认证标识ID Token概念。符合OIDC流程的一定符合OAuth2.0。OAuth 2.0 是关于如何发布访问令牌(AccessToken)的规范;而OIDC是关于如何发布ID 令牌的规范。虽然这两种令牌都是以JWT的形式体现。

在RFC 6749中定义的一个OAuth2.0授权端点(authorization endpoint) 用以请求授权,该端点需要一个response_type的参数用来通知授权服务器所需的授权类型,通常包括了code和token两种。OIDC扩展了这一属性,增加了id_token和none。那么response_type的值现在可能有下列组合的情况:

  1. code 
  2. token 
  3. id_token 
  4. code token 
  5. id_token token 
  6. code id_token 
  7. code id_token token 
  8. none 

另外如果该请求是一个OIDC授权认证请求还必须包含一个值为openid 的scope参数,这是区分普通OAuth 2.0和OIDC的关键。

OIDC的关键术语

 

OIDC规定了一些术语用来提高我们学习的门槛:

  • EU:End User 终端用户
  • RP:Relying Party 即客户端(client),授权和认证的最终消费方,我搞不懂为啥要玩多余的概念
  • OP:OpenID Provider,对EU进行认证的服务提供者
  • ID Token:JWT格式,EU的认证通过后生成凭证,供RP消费
  • UserInfo Endpoint:通过凭据查询用户基本信息的接口,建议上HTTPS。

OIDC的流程

 

OIDC复用了OAuth2.0的授权流程,在授权的过程中增加了一些“小动作”来进行用户认证。结合其术语,大致的流程是这样的:

RP发送一个认证请求给OP;

OP先对EU进行身份认证,确认无误后提供授权;

OP把ID Token和Access Token(需要的话)返回给RP;

RP使用Access Token发送一个请求UserInfo EndPoint;(可选)

UserInfo EndPoint返回EU的Claims。(基于第4个步骤可选)

OAuth2.0协议扩展——OIDC认证协议

OIDC协议流程图

另外,OIDC归纳了三种复用OAuth 2.0的流程:

  • Authorization Code Flow:使用OAuth2的Authorization Code模式来换取Id Token和Access Token。
  • Implicit Flow:使用OAuth2的Implicit模式获取Id Token和Access Token。
  • Hybrid Flow:以上两种的混合实现。

总结

 

协议这个东西学起来确实比较枯燥难懂,需要结合一些场景才能说清楚,说实话有些东西我也云里雾里,不过这个是无法跳过去的东西。先不要想太多为什么,后续会结合一些场景来搞明白上面的术语和流程。

原文链接:https://mp.weixin.qq.com/s/wPik1Tf2IwC08KkVFvd6Og

延伸 · 阅读

精彩推荐
  • 网络协议5分钟看懂互联网安全协议IPSec

    5分钟看懂互联网安全协议IPSec

    通信双方需要一个真正在IP层提供安全性的方法,保证发送和接收的数据是安全的,IPSec(Internet Protocol Security,互联网安全协议)做到了。...

    中兴文档9342021-11-01
  • 网络协议为什么叫 HTTP/2 ,而不是 HTTP/2.0 ?

    为什么叫 HTTP/2 ,而不是 HTTP/2.0 ?

    互联网时代,足不出户,点点鼠标就可以轻松了解外面的世界变化,这一切得益于网络传输数据。我们都知道网络有7层模型,从底层到上层依次是:物理层...

    微观技术4842021-11-01
  • 网络协议四次挥手,TCP连接的关闭

    四次挥手,TCP连接的关闭

    我们退出 telnet 命令后,TCP 将关闭连接。于此同时,我们通过 tcpdump 也观察到 TCP 关闭连接的通信过程。本节,我们继续深入研究 TCP 关闭连接的通信细节。...

    小菜学编程9942021-10-28
  • 网络协议三分钟教你读懂通信协议

    三分钟教你读懂通信协议

    协议到底是什么?为什么大家都在强调协议的重要性?学习协议有哪些注意事项?今天小编就给大家简单介绍下相关内容。...

    中兴文档9972021-10-27
  • 网络协议一文读懂 https 底层原理

    一文读懂 https 底层原理

    既然https协议本质只是http上加了安全层,本文就主要将安全层是怎么实现的。当然要靠加密。加密又分成对称加密和非对称加密。...

    Java知音11462021-12-26
  • 网络协议OAuth2.0协议扩展——OIDC认证协议

    OAuth2.0协议扩展——OIDC认证协议

    客户端无法认定资源拥有者就是正确的拥护者,虽然市面上的OAuth 2.0能够保证授权的安全性,但是OAuth 2.0本身并没有对用户认证提供明确的规范。...

    码农小胖哥4952021-08-02
  • 网络协议从一次线上问题说起,详解 TCP 半连接队列、全连接队列

    从一次线上问题说起,详解 TCP 半连接队列、全连接队列

    某次大促值班 ing,对系统稳定性有着充分信心、心态稳如老狗的笔者突然收到上游反馈有万分几的概率请求我们 endpoint 会出现 Connection timeout 。...

    云巅论剑11612021-10-28
  • 网络协议HTTP缓存协议实战

    HTTP缓存协议实战

    缓存,又称作Cache,我们把临时存储数据的地方叫做缓存池,缓存池里面放的数据就叫做缓存,本文就以实战的形式为大家介绍HTTP缓存协议。...

    vivo互联网技术6942022-03-10