一、介绍
本篇文章主要介绍了 OpenID Connect (OIDC) 的核心概念以及如何在 Spring Security 中进行扩展以实现 OIDC 的单点登录功能。OIDC 是基于 OAuth2 协议的身份认证标准协议,它通过在 OAuth2 的授权流程中添加用户的身份认证信息来提供更高级的身份验证服务。
为了更好地理解 OIDC,我们首先需要了解 OAuth2 的基本概念。如果对 OAuth2 的单点登录原理和流程还不太熟悉,可以参考我之前的相关文章。
二、OIDC核心概念
OAuth2 提供了 Access Token 来解决第三方客户端访问受保护资源的问题;而 OIDC 在此基础上提供了 ID Token,专为第三方客户端标识用户身份而设计。ID Token 的核心在于,它是一份包含用户身份认证信息的 JWT 格式数据结构,该数据结构在 OAuth2 的授权流程中一同提供给第三方客户端。
OIDC 协议的授权返回示例中,我们可以看到除了 access_token,还多出了 id_token 属性,这表明了 OIDC 认证的成功。
三、ID Token详解
ID Token 是一个由授权服务器颁发的安全令牌,它采用 JWT 格式,包含了用户的身份信息。由于 JWT 的自包含性、紧凑性以及防篡改机制,使得 ID Token 可以安全地传递给第三方客户端程序并易于验证。
ID Token 包含了以下内容:
- iss:令牌的颁发者
- iat:令牌的颁发时间戳
- exp:令牌的过期时间戳
- sub:用户ID
- name:用户姓名
- login_name:用户登录名
- picture:用户头像链接
- aud:令牌接收者的OAuth应用ID
- nonce:随机字符串,用于防止重放攻击
与 JWT 的 Access Token 相比,虽然可以在 Access Token 的 Payload 中加入用户信息来模拟 ID Token 的功能,但直接使用 ID Token 更便于管理和验证用户信息。通过 ID Token 可以减少使用 Get /userinfo 接口的远程 API 调用开销。
四、OIDC单点登录流程
下面我们将详细介绍一个具有独立用户体系的系统间 OIDC 协议单点登录的常用场景。在每个系统拥有独立用户数据的情况下,流程中会增加一步自动注册用户的步骤。
在解析 ID Token 时,公钥可以是预先提供给第三方系统的,也可以是提供接口进行获取。当首次单点登录时,如果用户数据不存在于本系统中,将触发自动注册用户的步骤,即在系统中生成该用户数据。
五、Spring Security实现扩展
在 Spring Security 中实现 OIDC 的扩展需要达到以下效果:在 OAuth2 的授权码模式基础上添加对 ID Token 的支持。具体实现方式是利用 Security 的 TokenEnhancer 来为 Token 添加自定义字段。我们可以通过定义一个 TokenEnhancer 的 Bean 来扩展 Token,使其包含 ID Token 所需的用户身份信息。