微服务系列之授权认证(一) OAuth 2.0 和 OpenID Connect
1.传统架构的授权认证
传统应用架构,用户使用账号密码登录后,可以使用前端cookie存储登录状态,也可以使用后端session方式存储登录状态,小应用这么做其实很高效实用,当应用需要横向扩展时,就需要共享登录状态,这时候session的基于asp.net state这种当前服务器进程方式存储就失效了,需要换成sqlserver或者redis作为session共享存储,这些都不是问题,这些前提都是单体应用架构的方案,但是在微服务架构里,服务拆分零散且前后端分离,后端以API方式提供服务的前提下,这种认证授权方式用不了拉,这时候就需要一个安全的、跨分布式的、高性能的认证授权方案来解决。
这些年围绕着授权鉴权(authorization)和身份验证(authentication)诞生了很多规范和协议。这里只讨论最主流的最新的规范和协议:OAuth2.0、OpenID Connect、JWT。8
2.OAuth 2.0
OAuth 2.0是关于授权鉴权的,一句话解释“OAuth 2.0是一种框架,其中服务的用户可以允许第三方应用程序访问他/她在服务中托管的数据,而无需向应用程序透露他/她的凭据”。
说一下Oauth2.0相关的名词:
- Resource Owner:资源所有者,就是某个应用的用户;
- Client:客户端,一个想要用这个资源用户的名义去做一些事情的应用”;
- Authorization Server:授权服务,前提是用户信任这个服务并且该服务拥有用户信息,用于颁发令牌给应用;
- Resource Server: 一个应用(API或者服务);
- Redirect URI: 一个网址URL,当Resource Owner在Authorization Server上授权了Client后,Authorization Server将会把Resource Owner重定向到的地方,也称“Callback URL”;
- Authorization Code: 用户授权给client后通过RedirectUrl回调回去携带的code,用于client通过客户端模式向授权服务换取token;
- Access Token: Client和Resource Server交互所使用的令牌,携带的访问权限范围,是你授权时通过勾选给client的,然后client拿着这个用户名义的token就可以访问你的资源了; 一般使用的是JWT格式;
- Response Type: Client希望从Authorization Server收到的信息的类型,最常见的Response Type是code,也就是Client希望收到一个Authorization Code,也有Implicit隐藏式,password密码模式,Client Credential客户端凭证模式。
下面说一下几种常用授权类型的实际交互是怎么样的
(1) 授权码模式Authorization Code
(2)Implicit隐藏式
这种模式,跳过获取code的步骤,在客户端重定向到授权服务时,讲responseType换成token。
(3)password密码模式
这种是啥呢,需要用户非常非常信任client的时候,才使用这种模式,需要用户在clinet上输入账号密码,client拿着用户的账号密码去授权服务获取access token。
(4)Client Credential客户端凭证模式
这是client与client之间的通信,与用户没啥关系,这种用于,流程是,A客户端使用clientId和secret通过授权服务,获取访问B客户端的token。我们实战中,是业务系统,在中台认证中心里获取一个长期的可以访问中台某些服务的token,业务服务直接通信中台服务,于用户无关。
3.OpenID Connect
OpenID Connect实际上就是对于client来说,在OAuth 2协议上完善了身份认证的东西,并不是说Oauth 2.0没有提供认证能力,只是对于client来说,没有知道用户的认证过程,没有拿到用户认证信息而已,OIDC就是让OAuth把认证结果也告诉client,让client也知道了用户是认证过的。这样在授权码过程中如下图:
HTTP/1.1 302 Found Location: https://server.example.com/authorize? response_type=code &scope=openid%20profile%20email &client_id=s6BhdRkqt3 &state=af0dasd &redirect_uri=https%3A%2F%2Fclient.example.org%2Fcb
在scope中增加了openid
HTTP/1.1 200 OK Content-Type: application/json Cache-Control: no-store Pragma: no-cache { "access_token": "dasdqwdqd", "token_type": "Bearer", "refresh_token": "casdqwfw", "expires_in": 3600, "id_token": "dsadwqdqdqwdqV4YW1wbGUuY29tIiwKICJzdWIiOiAiMjQ4Mjg5 NzYxMDAxIiwKICJhdWQiOiAiczZCaGRSa3F0MyIsCiAibm9uY2UiOiAibi0wUzZ fV3pBMk1qIiwKICJleHAiOiAxMzExMjgxOTcwLAogImlhdCI6IDEzMTEyODA5Nz AKfQ.ggW8hZ1EuVLuxNuuIJKX_V8a_OMXzR0EHR9R6jgdqrOOF4daGU96Sr_P6q Jp6IcmD3HP99Obi1PRs-cwh3LO-p146waJ8IhehcwL7F09JdijmBqkvPeB2T9CJ NqeGpe-gccMg4vfKjkM8FcGvnzZUN4_KSP0aAp1tOJ1zZwgjxqGByKHiOtX7Tpd QyHE5lcMiKPXfEIQILVq0pcgqeqgeqwhethrDSAdqwwqrt43t3" }
在返回的时候增加了id_token。
那么问题来了,OAouth2.0 给客户端办法的access token中的Payload中是可以自定义的,并且也可以防篡改,直接把认证的身份信息自定义里多好啊。?或者说,通过access_token去oidc提供的一个endpoint(get/userinfo)去请求用户信息?
原因以下几点:
1)payload里可是明文传输的,增加了传输带宽,也增加了用户信息泄露的风险;
2)access_token本身定义就是授权访问令牌,不关心用户信息,只关心是否能访问,功能耦合;
3)通过endpoint请求用户信息,增加了不少额外的API开销。
下一节,我们会大至说一下.net core服务中基于OAuth2.0和OpenId Connect实现的框架 identiy server 4