一直想要搞明白OpenID Connect是神馬,它在解決一個(gè)神馬問(wèn)題侧馅,看了很多文章視頻還是有點(diǎn)糊涂硼被。所以想換個(gè)思路,看看它和OAuth的差異到底是什么寿弱,從這點(diǎn)上幫助理解一下犯眠。
首先明確的一點(diǎn)是OpenID是在OAuth基礎(chǔ)上的一個(gè)擴(kuò)展,擴(kuò)展出了一個(gè)ID Token症革。這個(gè)ID Token就是核心喲筐咧!
- OAuth 2.0 is a specification as to how to issue access tokens
- OpenID Connect is a specification as to how to issue ID tokens.
在之前的文章中描述了access token,它是第三方應(yīng)用來(lái)獲取資源所有者存儲(chǔ)在資源服務(wù)器上數(shù)據(jù)的憑證噪矛。我們現(xiàn)在回顧一下access token:
access token
RFC 6749 includes the definition of a Web API called “authorization endpoint”. The API requires response_type as a mandatory request parameter.
OAuth 中有一個(gè)授權(quán)服務(wù)器量蕊,有一個(gè)endpoint來(lái)進(jìn)行授權(quán)的,例如Github的https://github.com/login/oauth/authorize
艇挨。完整url如下:
https://github.com/login/oauth/authorize?client_id=f252166dc176d078abac&redirect_uri=https%3A%2F%2Fruby-china.org%2Faccount%2Fauth%2Fgithub%2Fcallback&response_type=code&state=b7b6fca650d3e86594981cc8c792efebe6af13caaee4ce4d
這個(gè)url里包含了4個(gè)參數(shù):
client_id=f252166dc176d078abac
redirect_uri=https://ruby-china.org/account/auth/github/callback
response_type=code
state=b7b6fca650d3e86594981cc8c792efebe6af13caaee4ce4d
其中response_type
是必須的残炮,它指明了在這個(gè)OAuth流程中所使用的模式,code
指的是授權(quán)碼模式雷袋。在RFC 6749中定義的response_type
是code
或token
吉殃。
id token
OpenID在此基礎(chǔ)上為response_type
擴(kuò)展了一個(gè)id_token
,也允許這三種類(lèi)型的混合楷怒。
- code
- token
- id_token
- id_token token
- code id_token
- code token
- code id_token token
- none
如果要使用response_type=id_token
蛋勺,那么在https://github.com/login/oauth/authorize
的scope參數(shù)中需要添加openid
。這里只是打一個(gè)比方鸠删,目前Github并不支持OpenID抱完,authorize可接受的參數(shù)可查看官方文檔:Github Authorizing OAuth Apps。
id token的獲取流程
相比于OAuth的流程刃泡,OpenID有什么不同呢巧娱?
在這張流程圖中可以看到,流程上并無(wú)明顯差異烘贴,只是從AS(OAuth中的授權(quán)服務(wù)器)多返回了一個(gè)id_token禁添。這個(gè)id_token只是一個(gè)id性質(zhì)的字符串么?通過(guò)這篇文章Understanding ID Token可以得知桨踪,它就是一個(gè)JWT老翘。并且在之后的請(qǐng)求中都會(huì)帶著這個(gè)id token,被訪問(wèn)的服務(wù)器也會(huì)校驗(yàn)這個(gè)id token的合法性。那么這個(gè)id token存在的意義是什么呢铺峭?
摘自InfoQ的一段話:
OpenID 是一種身份識(shí)別系統(tǒng)墓怀,它允許用戶用單個(gè)帳號(hào)登錄多個(gè)網(wǎng)站。OpenID 是由 OpenID 基金會(huì)支持的卫键,該組織成立于 2008 年傀履,并得到了 Facebook、谷歌莉炉、IBM钓账、微軟、PayPal 和雅虎等多家公司的贊助呢袱。OpenID 一直被認(rèn)為是一種可以免除人們“為每一個(gè)網(wǎng)站創(chuàng)建帳戶并記憶用戶名 / 密碼”的身份驗(yàn)證方案官扣。
場(chǎng)景一:
想想上篇文章提到的第三方登錄,如果Github是它的唯一登錄方式羞福,是它唯一的Identity Provider惕蹄。那么也就是說(shuō)RubyChina不需要?jiǎng)?chuàng)建自己的SessionId或是Token這種東西,直接在登錄成功后將id token返回給瀏覽器治专,有了這個(gè)id token卖陵,就可以保持當(dāng)前回話,訪問(wèn)RubyChina的其他資源张峰,這也就達(dá)到它起初的愿景咯泪蔫。場(chǎng)景二:
單點(diǎn)登錄SSO,在火熱的微服務(wù)架構(gòu)下喘批,需要自建一個(gè)Identity Provider撩荣。用戶通過(guò)這個(gè)server獲得一個(gè)JWT的token(id token)就可以訪問(wèn)scope內(nèi)的任意服務(wù)。
通過(guò)這兩個(gè)場(chǎng)景就已經(jīng)很好的解釋了OpenID解決的問(wèn)題饶深。它是一套完善的認(rèn)證授權(quán)機(jī)制餐曹,通過(guò)它可以很好的解決開(kāi)發(fā)過(guò)程中的訪問(wèn)控制問(wèn)題。
在下一篇文章里敌厘,會(huì)來(lái)聊聊對(duì)id token的理解台猴。