1.ID Token是jwt,包含一组关于身份认证会话的声明(claim)
2.access token在oidc中也能使用,伴随着id token一起被发送到客户端,但是这不是必要的,因为id token已经包含了用户信息,access token只是为了和OAuth兼容。
3.oidc新增了用户端点,可以获取用户的个人信息
4.oidc规定客户端可以简单的发现授权服务器的所有端点
主要术语
EU:一个人类用户
RP:Relying Party,依赖放,只受信任的客户端
OP:OpenID Provider,有能力提供EU身份认证的服务,授权服务器
ID Token:jwt数据,包含EU身份认证的信息
UserInfo Endpoint:用户信息接口。当用户使用access token访问时,返回用户信息。
ID Token
包含了一组的Claims和其他辅助的公共的Claims
Authorization Code
认证过程
1.客户端准备好认证的必要参数,scope(必须包含openid),response_type,client_id,redirect_uri,state这5个必选参数。其他可选参数:response_mode,nonce,display。。。
2.客户端向授权服务器发起请求
3.授权服务器鉴定这个终端用户
4.授权服务器获得这个终端用户的授权信息
5.授权服务器给客户端一个授权码
6.客户端的用这个授权码请求授权服务器的token端点
7.客户端收到授权服务的响应,包含了ID Toekn和Access Token
8.客户端校验ID Token并获得该用户的个人信息
认证端点
认证请求
在授权端点,授权服务器必须同时支持GET和POST。当客户端使用GET时,参数以查询字符串的形式给出,当使用POST时,参数以表单形式提交。
Scope:必须的。其中必须包含openid
response_type:必须的。当使用的是Authorization Code时,该值为code
client_id:必须的。客户端标识
redirect_uri:必须的。重定向地址
state:推荐的。自己定一个值,用于防止跨站请求伪造
还要其他参数
认证请求验证
授权服务器必须对认证请求进行验证
1.授权服务器必须根据OAuth2.0验证所有的参数
2.确保scope里面包含了openid
3.确保所有需要的参数都存在
4.If the sub (subject) Claim is requested with a specific value for the ID Token, the Authorization Server MUST only send a positive response if the End-User identified by that sub value has an active session with the Authorization Server or has been Authenticated as a result of the request. The Authorization Server MUST NOT reply with an ID Token or Access Token for a different user, even if they have an active session with the Authorization Server. Such a request can be made either using an id_token_hint parameter or by requesting a specific Claim Value as described in Section 5.5.1, if the claims parameter is supported by the implementation.
授权服务器认证终端用户
授权服务器需要验证终端用户是否被授权
授权服务器必须与用户进行交互
1.终端用户没有被验证
2.在参数中带了prompt参数
在下列情况下,授权服务器不得与终端用户进行交互:
身份验证请求包含prompt参数,其值为none。在这种情况下,如果终端用户尚未通过身份验证或无法进行静默身份验证,则授权服务器必须返回一个错误。
授权服务器获得这个终端用户的授权信息
一旦对最终用户进行了身份验证,授权服务器必须在向依赖方发布信息之前获得授权决策。当所使用的请求参数允许时,可以通过与终端用户进行交互对话,明确表示同意的内容,或者通过处理请求的条件或其他方法(例如,通过以前的管理同意)建立连接
成功的认证响应
认证成功之后,会重定向到redirect_uri,并返回code和state(如果有的话)
错误的认证响应
error:必须的。错误代码
error_description:错误描述
error_uri:错误的uri
认证响应校验
客户端在收到服务端的认证响应之后,必须进行校验
Token 端点
Token请求
客户端向token 端点发起一个请求。
grant_type:authorization_code
code:获取的code码
redirect_uri=必须和前一次一样
必须使用POST请求和表单提交
Token请求验证
如果颁发了客户端凭据或使用了其他客户端身份验证方法,则对客户端进行身份验证
确保将授权码颁发给经过身份验证的客户端
确保授权码是有效的
验证以前没有使用授权码
确保2次的redirect_uri是一样的
验证使用的授权代码是为了响应OpenID Connect身份验证请求而发出的(以便从令牌端点返回ID令牌)。
成功的Token响应
在验证成功之后,返回ID Token和Access Token
响应使用application/json类型。
token_type必须是Bearer
错误的Token响应
返回application/json类型。
返回http 400
Token响应校验
客户端必须对IDToken和Access Token进行校验
注意:OIDC声明的只有Code,Implicit,Hybrid模式,而Password和Credentials都是OAuth2.0定义的,这两个可以说根本就没有用户认证这一说。
UserInfo Endpoint
userinfo端点存储着用户循序,需要用access token来获取
UserInfo请求
可以使用GET或者POST。必须使用Bearer Token
一般建议使用GET。
Authorization:Bearer xxxxx
成功的UserInfo响应
返回json对象
错误的UserInfo响应
返回http 401
客户端校验UserInfo响应
使用Scope来请求Claims的值
scope=openid profile email phone
使用Claims来请求Claims的值
把claims的值构造成一个json,
{ "userinfo": { "given_name": {"essential": true}, "nickname": null, "email": {"essential": true}, "email_verified": {"essential": true}, "picture": null, "http://example.info/claims/groups": null }, "id_token": { "auth_time": {"essential": true}, "acr": {"values": ["urn:mace:incommon:iap:silver"] } } }刷新令牌
必须使用POST的表单来提交。服务端必须验refresh token。
验证成功,会返回一个新的refresh token和access token
发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/177220.html原文链接:https://javaforall.net
