OAuth 2.0实战课 09 笔记

学习极客时间王新栋的《OAuth 2.0实战课》笔记：实战：利用OAuth 2.0实现一个OpenID Connect用户身份认证协议。

OIDC 是什么？

OIDC 其实就是一种用户身份认证的开放标准。使用微信账号登录极客时间的场景，就是这种开放标准的实践。

OIDC= 授权协议 + 身份认证

OAuth 2.0 的授权码许可流程的运转，需要资源拥有者、第三方软件、授权服务、受保护资源这 4 个角色间的顺畅通信、配合才能够完成,
在 OIDC 的官方标准框架中，EU、RP 和 OP 这三个角色对于 OIDC 非常重要：

EU（End User），代表最终用户。
RP（Relying Party），代表认证服务的依赖方，就是上面我提到的第三方软件。
OP（OpenID Provider），代表提供身份认证服务方。

借助极客时间的例子，来看一下 OAuth 2.0 的 4 个角色和 OIDC 的 3 个角色之间的对应关系：

OIDC 和 OAuth 2.0 的关键区别

OIDC 就是基于 OAuth 2.0 来实现的一个身份认证协议框架,OIDC 的通信流程图帮助理解OIDC 和 OAuth 2.0 的关系：

一个基于授权码流程的 OIDC 协议流程，跟 OAuth 2.0 中的授权码许可的流程几乎完全一致，唯一的区别就是多返回了一个 ID_TOKEN，我们称之为 ID 令牌。这个令牌是身份认证的关键。

OIDC 中的 ID 令牌生成和解析方法

在上面图 2 的 OIDC 通信流程的第 6 步，我们可以看到 ID 令牌（ID_TOKEN）和访问令牌（ACCESS_TOKEN）是一起返回的。，令牌不需要被第三方软件解析，因为它对第三方软件来说是不透明的。但 ID 令牌需要能够被第三方软件解析出来，因为第三方软件需要获取 ID 令牌里面的内容，来处理用户的登录态逻辑。
ID 令牌的内容是什么呢？
5 个 JWT 声明参数也是必须要有的。

iss，令牌的颁发者，其值就是身份认证服务（OP）的 URL。
sub，令牌的主题，其值是一个能够代表最终用户（EU）的全局唯一标识符。
aud，令牌的目标受众，其值是三方软件（RP）的 app_id。
exp，令牌的到期时间戳，所有的 ID 令牌都会有一个过期时间。
iat，颁发令牌的时间戳。
实例代码如下：


//GENATE ID TOKEN
String id_token=genrateIdToken(appId,user);private String genrateIdToken(String appId,String user){String sharedTokenSecret="hellooauthhellooauthhellooauthhellooauth";//秘钥Key key = new SecretKeySpec(sharedTokenSecret.getBytes(),SignatureAlgorithm.HS256.getJcaName());//采用HS256算法Map<String, Object> headerMap = new HashMap<>();//ID令牌的头部信息headerMap.put("typ", "JWT");headerMap.put("alg", "HS256");Map<String, Object> payloadMap = new HashMap<>();//ID令牌的主体信息payloadMap.put("iss", "http://localhost:8081/");payloadMap.put("sub", user);payloadMap.put("aud", appId);payloadMap.put("exp", 1584105790703L);payloadMap.put("iat", 1584105948372L);return Jwts.builder().setHeaderParams(headerMap).setClaims(payloadMap).signWith(key,SignatureAlgorithm.HS256).compact();
}

ID 令牌才是 OIDC 作为身份认证协议的关键所在。那么有了 ID 令牌后，第三方软件应该如何解析它呢？


private Map<String,String> parseJwt(String jwt){String sharedTokenSecret="hellooauthhellooauthhellooauthhellooauth";//密钥Key key = new SecretKeySpec(sharedTokenSecret.getBytes(),SignatureAlgorithm.HS256.getJcaName());//HS256算法Map<String,String> map = new HashMap<String, String>();Jws<Claims> claimsJws = Jwts.parserBuilder().setSigningKey(key).build().parseClaimsJws(jwt);//解析ID令牌主体信息Claims body = claimsJws.getBody();map.put("sub",body.getSubject());map.put("aud",body.getAudience());map.put("iss",body.getIssuer());map.put("exp",String.valueOf(body.getExpiration().getTime()));map.put("iat",String.valueOf(body.getIssuedAt().getTime()));return map;}

OIDC 的流程：
细粒度地去看 OIDC 的流程就是：生成 ID 令牌 -> 创建 UserInfo 端点 -> 解析 ID 令牌 -> 记录登录状态 -> 获取 UserInfo。

单点登录
记录一下常用的单点登录的交易流程

一个用户 G 要登录第三方软件 A，A 有三个子应用，域名分别是 a1.com、a2.com、a3.com。如果 A 想要为用户提供更流畅的登录体验，让用户 G 登录了 a1.com 之后也能顺利登录其他两个域名，就可以创建一个身份认证服务，来支持 a1.com、a2.com 和 a3.com 的登录。：