2. 程式人生 > >OpenID Connect Core 1.0(六)使用隱式驗證流

OpenID Connect Core 1.0(六)使用隱式驗證流

阿新 發佈:2018-11-10

3.2 使用隱式驗證流(Authentication using the Implicit Flow)

本節描述如何使用隱式流程執行驗證。使用隱式流程時,所有令牌從授權終結點返回;不使用令牌終結點返回。

隱式流程主要是由客戶在瀏覽器中使用指令碼語言實現。直接返回Access Token和ID Token到客戶端,這可能會讓他們接觸到終端使用者和應用程式,這些使用者可以訪問終端使用者的使用者代理。授權伺服器不進行客戶端驗證。

 

3.2.1隱式流程步驟(Implicit Flow Steps)

隱式流程動遵循以下步驟:

1、客戶準備一個包含所需的驗證請求的請求引數。

2、客戶端傳送請求到授權伺服器。

3、授權伺服器驗證使用者。

4、授權伺服器獲得使用者同意/授權。

5、授權伺服器將終端使用者返回給客戶端,並使用ID Token,如果需要的話,則可以使用一個Access Token。

6、客戶端驗證ID Token和檢索終端使用者的從屬識別符號。

 

3.2.2 授權終結點(Authorization Endpoint)

當使用隱式流程時,是以3.1.2節定義的授權碼流程的一樣的方式使用授權的終結點,除了在本節中指出的差異。

 

3.2.2.1驗證請求(Authentication Request)

驗證請求是由3.1.2.1節中定義,除了如下驗證請求引數:

response_type

必需的。OAuth 2.0授權處理流程規定的響應型別值,包括返回終結點的引數。使用隱式流時,這個值是 “id_token token” 或 “id_token” 。這兩個值的含義在OAuth 2.0多個響應型別編碼實踐 [OAuth.Responses] 中定義。沒有Access Token值時只返回 id_token 。

注意:雖然OAuth 2.0還定義了隱式流程令牌響應型別值,但OpenID Connect不使用這種響應型別,因而沒有返回ID Token。

redirect_uri

必需的。將發回響應的URI重定向。這個URI必須精確匹配客戶端預註冊的OpenID提供者的一個重定向URI值,匹配執行在 6.2.1節 (RFC3986) (簡單的字串比較) 中描述。當使用隱式流程時,重定向的URI 不能使用 http方案,除非客戶端是一個本地應用程式,在這種情況下,它可能使用 http: 主機名是localhost。

nonce

必需的。用於將客戶端會話與ID Token關聯起來的字串值,並減輕重播攻擊。該值在請求ID Token中是不會修改的。nonec必須足夠複雜,以防止攻擊者猜測。實現說明,請參閱 15.5.2節 。

下面是一個非規範化的,使用隱式流程請求示例,這將是由使用者代理髮送到授權伺服器,為以響應客戶端相應的HTTP 302重定向響應(換行僅用於顯示目的):

  GET /authorize?

    response_type=id_token%20token

    &client_id=s6BhdRkqt3

    &redirect_uri=https%3A%2F%2Fclient.example.org%2Fcb

    &scope=openid%20profile

    &state=af0ifjsldkj

    &nonce=n-0S6_WzA2Mj HTTP/1.1

  Host: server.example.com

 

3.2.2.2驗證請求驗證(Authentication Request Validation)

使用隱式流程時,其驗證請求,與在 3.1.2.2節中定義的授權碼流程方式一致。

 

3.2.2.3授權伺服器驗證使用者(Authorization Server Authenticates End-User)

使用隱式流程時,終端使用者執行驗證,與在 3.1.2.3節中定義的授權碼流程方式一致。

 

3.2.2.4授權伺服器獲得使用者同意/授權(Authorization Server Obtains End-User Consent/Authorization)

使用隱式流程時,終端使用者同意,與在 3.1.2.4節中定義的授權碼流程方式一致。

 

3.2.2.5成功的驗證響應(Successful Authentication Response)

使用隱式流程時,驗證響應與在 3.1.2.5節中定義的授權碼流程方式一致。

使用隱式流程時,所有響應引數新增到重定向的URI片段元件中,在 OAuth 2.0有多個響應型別編碼實踐 (OAuth.Responses),除非指定不同的響應模式。

下列引數將從授權終端返回:

access_token

OAuth 2.0的Access Token。該值會返回,除非所使用的 response_type 值是id token。

token_type

OAuth 2.0令牌型別的值。該值必須是Bearer或另一個與授權伺服器協商好了的token_type 值。客戶實現這個配置,必須支援 OAuth 2.0使用的Bearer令牌 (RFC6750)規範。配置僅僅描述了使用Bearer令牌。access_token返回情況相同。

id_token

必需的。ID Token。

state

OAuth 2.0狀態值。如果state引數是出現在授權請求中。客戶端必須確認state值是否等於授權請求時傳入的state值。

expires_in

可選的。從響應發生到Access Token過期時間的秒數。

  OAuth 2.0 (RFC6749) 中4.2.2節,當使用隱式流程沒有code結果返回。

下面是一個使用隱式流成功響應的非規範示例(換行僅用於顯示目的):

  HTTP/1.1 302 Found

  Location: https://client.example.org/cb#

    access_token=SlAV32hkKG

    &token_type=bearer

    &id_token=eyJ0 ... NiJ9.eyJ1c ... I6IjIifX0.DeWt4Qu ... ZXso

    &expires_in=3600

    &state=af0ifjsldkj

 

3.2.2.6驗證錯誤響應(Authentication Error Response)

當使用隱式流程,授權錯誤響應與在 3.1.2.6節中定義的授權碼流程方式一致。

如果終端使用者拒絕了請求,或者終端使用者身份驗證失敗,授權伺服器必須在重定向URI的片段元件中返回錯誤授權響應,OAuth 2.0 (RFC6749) 4.2.2.1中定義的和 OAuth 2.0多個響應型別編碼實踐 (OAuth.Responses),除非指定不同的響應模式。

 

3.2.2.7重定向URI片段處理(Redirect URI Fragment Handling)

由於響應引數在重定向URI片段值中返回,所以客戶端需要讓使用者代理解析片段編碼的值,並將其傳遞給客戶端的處理邏輯以供消費。有關URI片段處理的實現說明,請參閱第15.3節。

 

3.2.2.8驗證響應驗證(Authentication Response Validation)

使用隱式流程時,客戶端必須驗證響應如下:

1、驗證的響應符合第五節 (OAuth.Responses) 。

2、遵循RFC 6749的驗證規則,尤其是4.2.2和10.12部分。

3、按照3.2.2.11部分的ID Token驗證規則。

4、按照3.2.2.9部分的Access Token驗證規則,除非 response_type 使用的值是 id_token。

 

3.2.2.9 Access Token驗證(Access Token Validation)

要驗證帶有ID Token的授權端點發出的Access Token,客戶端應該做到以下幾點:

1、用JWA 中指定的雜湊演算法對access_token的ASCII表示進行雜湊計算,以獲得ID令牌的JOSE Header的alg頭引數。例如,如果alg是RS256,那麼使用的雜湊演算法是SHA-256。

2、取最左邊的一半雜湊和base64url編碼。

3、ID令牌中的at_hash值必須與上一步中生成的值相匹配。

 

3.2.2.10 ID Token(ID Token)

ID Token的內容在第二節中描述。使用隱式流程時,要求以下額外的宣告申請ID Token:

nonce

使用 nonce 宣告在隱式流中是必需。

at_hash

Access Token 雜湊值。它的值是base64url編碼,它是 access_token  值的ASCII表示的八進位制雜湊中最左半部分的編碼,其中使用的雜湊演算法是在ID令牌的JOSE 標頭的alg頭引數中使用的雜湊演算法。例如,如果alg是RS256,用SHA-256將 access_token  值雜湊,然後用最左邊的128位和base64url編碼它們。at_hash值是一個大小寫敏感字串。

如果帶有 access_token值的 ID Token從授權端點頒發 ,當response_type值是id_token token,這是必需的;當response_type值是id_token時 access_token不會使用。

 

3.2.2.11 ID Token驗證(ID Token Validation)

使用隱式流程時,必須以3.1.3.7中定義授權碼流程的同樣方式驗證ID Token的內容,除了在本節中指定的差異。

1、客戶端必須使用JWS的方法來驗證 ID Token 的簽名,其演算法是在JOSE Header的alg頭引數中指定。。

2. 必須檢查nonce 宣告值,以驗證它是否與在認證請求中傳送的值相同。客戶端應該檢查nonce值以防止重放攻擊。檢測重放攻擊的精確方法用於特定客戶端的。

相關推薦

OpenID Connect Core 1.0使用驗證

3.2 使用隱式驗證流(Authentication using the Implicit Flow) 本節描述如何使用隱式流程執行驗證。使用隱式流程時,所有令牌從授權終結點返回;不使用令牌終結點返回。 隱式流程主要是由客戶在瀏覽器中使用指令碼語言實現。直接返回Access Token和ID Token到

OpenID Connect Core 1.0使用授權碼驗證

3.1 使用授權碼流驗證(Authentication using the Authorization Code Flow) 本節描述如何使用授權碼流執行驗證。當使用授權碼流時,會從令牌終結點返回的所有令牌。 授權碼流返回授權碼給客戶端,這個授權碼可以直接交換一個ID T

OpenID Connect Core 1.0介紹

pairwise color 類型 客戶端 itu-t endpoint nta 框架 方式 IdentityServer4是基於OpenID Connect and OAuth 2.0框架,OpenID Connect Core 1.0是IdentityServer4最重

OpenID Connect Core 1.0ID Token

不同的 可能 indent ext mon 來源 conn 請求 引用 2、ID Token(ID Token) OpenID Connect主要是對OAuth 2.0 能夠使得終端用戶通過ID Token的數據結構進行驗證。當客戶端和潛在的其他請求聲明,ID Token包

OpenID Connect Core 1.0從第三方發起登入

在某些情況下,登入流程由一個OpenID提供者或其他方發起,而不是依賴方(RP)。在這種情況下,發起者重定向到RP在發起登入終結點,RP的請求驗證請求傳送到指定的OP。這個發起登入終結點可以在RP深度連結,而不是預設的登入頁面。RPs支援OpenID Connect Dynamic Client Regist

OpenID Connect Core 1.0聲明(Claims)

sil 額外 求一個 回聲 排序。 rfc6750 默認的配置 obj 什麽 5 聲明(Claims) 這一節說明客戶端如何獲取關於終端用戶聲明和驗證事件。它還定義了一組標準的基本聲明配置。預定義一組可請求的聲明,使用特定的scope值或能用於請求參數中的個人聲明。聲明可以

OpenID Connect Core 1.0宣告(Claims)

5 宣告(Claims) 這一節說明客戶端如何獲取關於終端使用者宣告和驗證事件。它還定義了一組標準的基本宣告配置。預定義一組可請求的宣告,使用特定的scope值或能用於請求引數中的個人宣告。宣告可以直接來自OpenID提供者或分散式來源。 5.1 標準宣告(Stand

51CTO學院風哥MySQL DBA數據庫高級工程師視頻教程套餐1.0上部

term QQ type 內容 中間件 數據庫備份 color alt ora 51CTO學院風哥MySQL DBA數據庫高級工程師培訓專題1.0(上部 ) 內容如下:MySQL數據庫基礎入門與項目實戰;MySQL數據庫SQL語言開發與應用實戰;MySQL數據庫基礎深入與核

微服務 SpringBoot 2.0:常用配置(properties、yml)

版本號 ria enable 序列化 資源 selector reference 一個 templates 約定優於配置,但配置不能為0 —— Java面試必修 引言 在前面的章節中,我們已經知道,SpringBoot的配置文件分為properties和yml,而我個人

從零寫分散式RPC框架 系列 1.0 2RPC-Common模組設計實現

RPC-Common模組提供RPC-Server和RPC-Client的通用物件,封裝統一規則,使RPC Server和RPC Client 可以基於同一協議通訊。主要包含底層通訊的Netty所需的編碼解碼器(RpcEncoder,RpcDecoder),實現自定義協議的傳輸物件(Rpc

從零寫分散式RPC框架 系列 1.0 5整合測試

本篇將對前面幾篇模組作整合處理,使用spring-boot-starter的形式進行釋出。然後新建 examples 工程模組對其測試使用。 系列文章: 從零寫分散式RPC框架 系列 1.0 (1)架構設計 從零寫分散式RPC框架 系列 1.0 (2)RPC-Common模組設計

從零寫分散式RPC框架 系列 1.0 4RPC-Client模組設計實現

RPC-Client模組負責建立 動態代理物件 供 服務消費者 使用,而動態代理物件的方法執行則是通過RPC呼叫RPC-Server的服務實現。即RPC-Client遮蔽了底層的通訊過程,使得服務消費者可以基於介面透明使用服務提供者的服務。 系列文章: 從零寫分散式RPC框架 系

從零寫分散式RPC框架 系列 1.0 3RPC-Server模組設計實現

RPC-Server模組負責(1)將@RpcService註解標記的服務和自身資訊註冊到ZK叢集,(2)對外提供RPC服務實現,處理來自RPC-Client的請求。該模組整體的核心類為 RpcServer ,而真正處理請求的核心類是 RpcServerHandler 。另外還有一個 ZK

SpringBoot 2.1.0 :HelloWorld

簡介 本系列基於Spring Boot 2.1.0 的官方文件,除去了文件中一些冗餘的東西,加上了一些自己的理解,意圖是在於幫助更多初識Spring Boot的人來進行一次探險。 本系列建議具有Java基礎和Spring使用經驗的同學學習。 什麼是Spring Boot

AppCrawler自動化遍歷使用詳解(版本2.1.0 )

AppCrawle是自動遍歷的app爬蟲工具,最大的特點是靈活性,實現:對整個APP的所有可點選元素進行遍歷點選。   優點: 1.支援android和iOS, 支援真機和模擬器 2.可通過配置來設定遍歷的規則(比如設定黑名單和白名單,提高遍歷的覆蓋率)

Net Core 學習入門----------配置mongoDB

1,在官網處下載最新安裝包,安裝到windows。2,使用vs新建一個專案,並使用nugut匯入mongoDb的開發包。3,配置類     配置是按照官網的教程配的,操作類是網上其他大神的,using CoreMvc.Common; using MongoDB.Driver;

Ubuntu18.04下載編譯Android8.1.0

在編譯過程中發生好多問題,一點一點解決,主要幾點如下。1.在虛擬機器中執行需要環境硬碟分配200G,100G不夠,記憶體5G,核心2核*2邏輯核2.切換到root賬號設定,編譯sudo passwd設定root密碼然後su root 切換到root賬號3.切換到prebuil

TensorFlow2.0:Dataset

  在整個機器學習過程中,除了訓練模型外,應該就屬資料預處理過程消耗的精力最多,資料預處理過程需要完成的任務包括資料讀取、過濾、轉換等等。為了將使用者從繁雜的預處理操作中解放處理,更多地將精力放在演算法建模上,Te

skywalking8.1.0 安裝與部署

skywalking部署   背景介紹 目前公司後端服務全部為微服務並執行在kubernetes叢集上,而大量的微服務的背後擁有很複雜的呼叫關係,縱使你是公司的資深開發也很難理清每一個後端服務之間的依賴關係,並且隨著公司的發展,服務數量的增加以及內部呼叫鏈的複雜化,僅憑日誌監控和基礎服務監控是很難做

在ASP.NET Core中用HttpClient——ASP.NET Core中使用HttpClientFactory

​到目前為止,我們一直直接使用HttpClient。在每個服務中,我們都建立了一個HttpClient例項和所有必需的配置。這會導致了重複程式碼。在這篇文章中,我們將學習如何通過使用HttpClientFactory來改善它。當然,這並不是使用HttpClientFactory的唯一優勢。我們將學習HttpC