在onelogin中使用OpenId Connect Authentication Flow

2024-02-24 16:18

本文主要是介绍在onelogin中使用OpenId Connect Authentication Flow,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

文章目录

  • 简介
  • OpenId Connect和Authentication Flow简介
  • onelogin的配置工作
  • 使用应用程序连接onelogin
  • 程序中的关键步骤
  • 总结

简介

onelogin是一个优秀的SSO(Single Sign-On)服务提供商,我们可以借助onelogin的服务,轻松构建SSO程序。

之前我们也讲过了,构建SSO的通用协议一般有两种,OpenID connect和SAML。今天我们将会通过一个具体的例子来讲解一下怎么在onelogin中使用OpenID connect中的Authentication Flow来进行SSO认证。

OpenId Connect和Authentication Flow简介

OpenID Connect是构建在OAuth 2.0协议之上的。它允许客户端基于授权服务器或者身份提供商(IdP)来进行用户的身份认证,并获取到用户的基本信息。

OpenID Connect提供了RESTful HTTP API,并使用Json作为数据的传递格式。

我们可以很容易的使用onelogin作为Identity Provider (IdP)来进行SSO认证。

今天我们要讲的是如何使用onelogin来实现Authentication Flow。我们知道OpenId Connect 有很多种模式。

今天介绍的是Authorization Code模式。

Authorization Code流程的步骤如下:

客户端准备身份认证请求,请求里包含所需要的参数

客户端发送请求到授权服务器

授权服务器对最红用户进行身份认证

授权服务得最终用户的统一/授权

授权服务器把最终用户发送回客户端,同时带着授权码

客户端使用授权码向Token端点请求一个响应

客户端接收到响应,响应的Body里面包含在和ID Token和Access Token

客户端验证ID Token,并获得用户的一些身份信息

onelogin的配置工作

如果需要在我们的应用程序中使用onelogin,需要做一些配置工作。我们来具体看一下。

首先我们需要在onelogin中注册一个账号。

注册onelogin是免费的,可以配置3个app和25个用户。做测试使用是足够了。

注册的流程就不多讲了。注册完毕之后,我们就可以在onelogin中创建app了。

在applications tab,我们要使用openid connect,那么就搜索oidc:

可以看到onelogin可以支持多种OIDC的连接协议。既然是onelogin的界面,当然选onelogin的连接了。

输入应用程序的名字,点击save。

在configuration一栏中,redirect URL输入: http://localhost:3000/oauth/callback

这个是认证完之后,跳转回我们自己的app的URL。

然后转到SSO栏,拷贝client ID 和 client Security,修改认证方式为POST

如果你还想创建新的user或者给user设置权限,可以自行探索onelogin的高级功能。

使用应用程序连接onelogin

这里我们选择onelogin提供的官方server的例子 : https://github.com/onelogin/onelogin-oidc-node/blob/master/1.%20Auth%20Flow/

我们下载下来该程序,将 .env.sample 重命名为 .env

修改里面的变量,主要是OIDC_CLIENT_ID,OIDC_CLIENT_SECRET,SUBDOMAIN和OIDC_REDIRECT_URI这4个值,都是我们在onelogin做配置的时候设置的:

SUBDOMAIN=flydean-dev
OIDC_CLIENT_ID=a3446600-f263-0138-3235-122333243433
OIDC_CLIENT_SECRET=**********
OIDC_REDIRECT_URI=http://localhost:3000/oauth/callback

然后运行npm intall; npm start 启动nodejs服务即可。

官方的例子是使用的nodejs+express框架和Passport-OpenIdConnect模块来和onelogin进行交互的。

我们看下交互的流程。

  1. 用浏览器打开http://localhost:3000,进入app的主页面:

  1. 点login将会跳转到onelogin的授权登录页面:

我们看下网络请求:

可以看到,前面几个状态码都是302,重定向。

从localhost:3000的login页面重定向到:

https://flydean-dev.onelogin.com/oidc/2/auth?response_type=code&client_id=a3446600-f263-0138-3235-064d76eee9d3178911&redirect_uri=http://localhost:3000/oauth/callback&scope=openid profile&state=ohC1Fi0n0YTDELBtNmePDGvb

大家可以看到,这个重定向添加了oidc协议中需要添加的参数,比如respnse_type=code代表的是使用Authorization Code模式。而client_id就是我们配置的client id。 redirect_uri也是配置的返回链接。

scope表示认证范围,state是一个唯一标记,用来防刷。

然后又重定向到:

https://flydean-dev.onelogin.com/trust/openid-connect/v2?client_id=a3446600-f263-0138-3235-064d76eee9d3178911&grant=cbec20f1-f1d8-4733-9a6f-e98471edfc13

这一步是onelogin校验了上一步传来的参数,然后进行的再次跳转。

然后又重定向到:

https://flydean-dev.onelogin.com/login

这是自定义域名的登录页面。

https://flydean-dev.onelogin.com/login2/?return=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1cmkiOiJodHRwczovL2ZseWRlYW4tZGV2Lm9uZWxvZ2luLmNvbS90cnVzdC9vcGVuaWQtY29ubmVjdC92Mj9jbGllbnRfaWQ9YTM0NDY2MDAtZjI2My0wMTM4LTMyMzUtMDY0ZDc2ZWVlOWQzMTc4OTExXHUwMDI2Z3JhbnQ9Y2JlYzIwZjEtZjFkOC00NzMzLTlhNmYtZTk4NDcxZWRmYzEzIiwibm90aWZpY2F0aW9uIjp7Im1lc3NhZ2UiOiJDb25uZWN0aW5nIHRvICoqT3BlbklkIENvbm5lY3QgKE9JREMpKioiLCJpY29uIjoiY29ubmVjdGlvbiIsInR5cGUiOiJpbmZvIn0sImlzcyI6Ik1PTk9SQUlMIiwiYXVkIjoiQUNDRVNTIiwiZXhwIjoxNjAyOTIwNjM0LCJwYXJhbXMiOnt9LCJtZXRob2QiOiJnZXQifQ.hoUjh18mehtBSCINkoGOSDwJFHDBBl_nn47RMSizPfw

然后onelogin对参数进行加密处理,返回了大家能够看到的页面。

  1. 输入我们的用户名密码

点击继续。

  1. 认证成功后,调整到用户信息页面

我们可以看到内部也是经历了一系列的转发调用工作:

我们需要关心的是下面的callback:

http://localhost:3000/oauth/callback?code=2PVdwgQkNip883hql_ub9w3Byug&state=ohC1Fi0n0YTDELBtNmePDGvb

可以看到在callback中,我们获取到了code,后面可以使用这个code和onelogin进行交互。

  1. 点击profile,我们将会尝试从onelogin获取到用户的信息

我们关注下请求的链接:

http://localhost:3000/users/profile

这一步实际上会在后台通过code去请求onelogin的用户信息。

程序中的关键步骤

这个官方的认证程序是用nodejs和express构建的,认证框架主要用的是 passport 和 passport-openidconnect。

我们看下关键代码。

passport配置使用onelogin:

// Configure the OpenId Connect Strategy
// with credentials obtained from OneLogin
passport.use(new OneLoginStrategy({issuer: baseUri,clientID: process.env.OIDC_CLIENT_ID,clientSecret: process.env.OIDC_CLIENT_SECRET,authorizationURL: `${baseUri}/auth`,userInfoURL: `${baseUri}/me`,tokenURL: `${baseUri}/token`,callbackURL: process.env.OIDC_REDIRECT_URI,passReqToCallback: true
},
function(req, issuer, userId, profile, accessToken, refreshToken, params, cb) {console.log('issuer:', issuer);console.log('userId:', userId);console.log('accessToken:', accessToken);console.log('refreshToken:', refreshToken);console.log('params:', params);req.session.accessToken = accessToken;return cb(null, profile);
}));

从上面代码中可以看到,拿到accessToken之后,是存放在session中的。

使用session存储认证信息:

app.use(session({secret: 'secret squirrel',resave: false,saveUninitialized: true
}))

login的逻辑操作:

app.get('/login', passport.authenticate('openidconnect', {successReturnToOrRedirect: "/",scope: 'profile'
}));

callback的逻辑操作:

app.get('/oauth/callback', passport.authenticate('openidconnect', {callback: true,successReturnToOrRedirect: '/users',failureRedirect: '/'
}))

获取用户profile操作:

router.get('/profile', function(req, res, next) {request.get(`https://${ process.env.SUBDOMAIN }.onelogin.com/oidc/2/me`,   {'auth': {'bearer': req.session.accessToken}},function(err, respose, body){console.log('User Info')console.log(body);res.render('profile', {title: 'Profile',user: JSON.parse(body)});});
});

使用session中的accessToken来获取用户的信息。

总结

一个简单的SSO程序就搭建完成了。通过passport模块来获取accessToken信息,并存储在session中。

passport模块支持很多种Strategy,包括openID,Local,BrowserID,Facebook,Google,Twitter等。我们可以使用它来适配不同的认证服务。

本文作者:flydean程序那些事

本文链接:http://www.flydean.com/openid-connnect-with-onelogin/

本文来源:flydean的博客

欢迎关注我的公众号:「程序那些事」最通俗的解读,最深刻的干货,最简洁的教程,众多你不知道的小技巧等你来发现!

这篇关于在onelogin中使用OpenId Connect Authentication Flow的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/742660

相关文章

中文分词jieba库的使用与实景应用(一)

知识星球:https://articles.zsxq.com/id_fxvgc803qmr2.html 目录 一.定义: 精确模式(默认模式): 全模式: 搜索引擎模式: paddle 模式(基于深度学习的分词模式): 二 自定义词典 三.文本解析   调整词出现的频率 四. 关键词提取 A. 基于TF-IDF算法的关键词提取 B. 基于TextRank算法的关键词提取

使用SecondaryNameNode恢复NameNode的数据

1)需求: NameNode进程挂了并且存储的数据也丢失了,如何恢复NameNode 此种方式恢复的数据可能存在小部分数据的丢失。 2)故障模拟 (1)kill -9 NameNode进程 [lytfly@hadoop102 current]$ kill -9 19886 (2)删除NameNode存储的数据(/opt/module/hadoop-3.1.4/data/tmp/dfs/na

Hadoop数据压缩使用介绍

一、压缩原则 (1)运算密集型的Job,少用压缩 (2)IO密集型的Job,多用压缩 二、压缩算法比较 三、压缩位置选择 四、压缩参数配置 1)为了支持多种压缩/解压缩算法,Hadoop引入了编码/解码器 2)要在Hadoop中启用压缩,可以配置如下参数

Makefile简明使用教程

文章目录 规则makefile文件的基本语法:加在命令前的特殊符号:.PHONY伪目标: Makefilev1 直观写法v2 加上中间过程v3 伪目标v4 变量 make 选项-f-n-C Make 是一种流行的构建工具,常用于将源代码转换成可执行文件或者其他形式的输出文件(如库文件、文档等)。Make 可以自动化地执行编译、链接等一系列操作。 规则 makefile文件

使用opencv优化图片(画面变清晰)

文章目录 需求影响照片清晰度的因素 实现降噪测试代码 锐化空间锐化Unsharp Masking频率域锐化对比测试 对比度增强常用算法对比测试 需求 对图像进行优化,使其看起来更清晰,同时保持尺寸不变,通常涉及到图像处理技术如锐化、降噪、对比度增强等 影响照片清晰度的因素 影响照片清晰度的因素有很多,主要可以从以下几个方面来分析 1. 拍摄设备 相机传感器:相机传

pdfmake生成pdf的使用

实际项目中有时会有根据填写的表单数据或者其他格式的数据,将数据自动填充到pdf文件中根据固定模板生成pdf文件的需求 文章目录 利用pdfmake生成pdf文件1.下载安装pdfmake第三方包2.封装生成pdf文件的共用配置3.生成pdf文件的文件模板内容4.调用方法生成pdf 利用pdfmake生成pdf文件 1.下载安装pdfmake第三方包 npm i pdfma

零基础学习Redis(10) -- zset类型命令使用

zset是有序集合,内部除了存储元素外,还会存储一个score,存储在zset中的元素会按照score的大小升序排列,不同元素的score可以重复,score相同的元素会按照元素的字典序排列。 1. zset常用命令 1.1 zadd  zadd key [NX | XX] [GT | LT]   [CH] [INCR] score member [score member ...]

git使用的说明总结

Git使用说明 下载安装(下载地址) macOS: Git - Downloading macOS Windows: Git - Downloading Windows Linux/Unix: Git (git-scm.com) 创建新仓库 本地创建新仓库:创建新文件夹,进入文件夹目录,执行指令 git init ,用以创建新的git 克隆仓库 执行指令用以创建一个本地仓库的

【北交大信息所AI-Max2】使用方法

BJTU信息所集群AI_MAX2使用方法 使用的前提是预约到相应的算力卡,拥有登录权限的账号密码,一般为导师组共用一个。 有浏览器、ssh工具就可以。 1.新建集群Terminal 浏览器登陆10.126.62.75 (如果是1集群把75改成66) 交互式开发 执行器选Terminal 密码随便设一个(需记住) 工作空间:私有数据、全部文件 加速器选GeForce_RTX_2080_Ti

【Linux 从基础到进阶】Ansible自动化运维工具使用

Ansible自动化运维工具使用 Ansible 是一款开源的自动化运维工具,采用无代理架构(agentless),基于 SSH 连接进行管理,具有简单易用、灵活强大、可扩展性高等特点。它广泛用于服务器管理、应用部署、配置管理等任务。本文将介绍 Ansible 的安装、基本使用方法及一些实际运维场景中的应用,旨在帮助运维人员快速上手并熟练运用 Ansible。 1. Ansible的核心概念