Ref

1. OpenID Connect & OAuth 2.0 - FusionAuth

2. The Modern Guide To OAuth (fusionauth.io)

1. OAuth和ODIC协议内容和流程：https://www.infoq.cn/article/euvhttyf3jmfakmm8cmn

2. *JWT、ODIC等认证授权总结：jwt、oauth2和oidc等认证授权技术的理解 - 涂宗勋 - 博客园 (cnblogs.com)

3. *JWT总结：http://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html

4. OAuth 2.0与OpenID Connect协议的完整指南_安全_Haseeb Anwar_InfoQ精选文章

5. 理解OAuth 2.0 - 阮一峰的网络日志 (ruanyifeng.com)

6. OAuth 2.0 的一个简单解释 - 阮一峰的网络日志 (ruanyifeng.com)

7. ref：[认证 & 授权] 4. OIDC（OpenId Connect）身份认证（核心部分） - Timetombs - 博客园 (cnblogs.com)

8. 浅谈CSRF攻击方式 - hyddd - 博客园 (cnblogs.com)

密码学

JWT(Point)

OAuth

概念

1. Authorization Code 授权码

2. PKCE 授权码模式增强版

3. Client Credentials 客户凭证

4. Device Code

5. Refresh Token

6. Implicit Flow 隐式流程（Legacy）

7. Password Grant 密码模式（Legacy）

1. 客户端：需要访问资源的第三方应用程序。

2. 授权服务器：验证用户身份和授权请求，并返回访问令牌。

3. 资源服务器：存储受保护资源和检查访问令牌的有效性。

4. 用户：拥有资源的数据主人，可以授权访问权限给第三方应用程序。

1. 增加了安全性：每个客户端都可以获得它所需的最小特权范围，并且完全控制用户授权的内容。

2. 简化了授权：OAuth 2.0协议实现了统一授权流程，使得使用方便。

3. 支持多种场景：OAuth 2.0协议可以用于资源所有者与资源服务器不在同一个系统上的情况，也可以用于单点登录、用户授权等多种场景。

OAuth2的授权码模式和简化模式流程

OAuth2.0 授权码流程

• response_type：表示授权类型，必选项，此处的值固定为"code"

• client_id：表示客户端的ID，必选项

• redirect_uri：表示重定向URI，可选项

• scope：表示申请的权限范围，可选项

• state：表示客户端的当前状态，可以指定任意值，认证服务器会原封不动地返回这个值。

• grant_type：表示使用的授权模式，必选项，此处的值固定为"authorization_code"。

• code：表示上一步获得的授权码，必选项。

• redirect_uri：表示重定向URI，必选项，且必须与A步骤中的该参数值保持一致。

• client_id：表示客户端ID，必选项。

• access_token：表示访问令牌，必选项。

• token_type：表示令牌类型，该值大小写不敏感，必选项，可以是bearer类型或mac类型。

• expires_in：表示过期时间，单位为秒。如果省略该参数，必须其他方式设置过期时间。

• refresh_token：表示更新令牌，用来获取下一次的访问令牌，可选项。

• scope：表示权限范围，如果与客户端申请的范围一致，此项可省略。

简化模式（隐式授权）

OAuth2 token

• granttype：表示使用的授权模式，此处的值固定为"refreshtoken"，必选项。

• refresh_token：表示早前收到的更新令牌，必选项。

• scope：表示申请的授权范围，不可以超出上一次申请的范围，如果省略该参数，则表示与上一次一致。

OIDC

概念

1. 客户端向认证服务器发起身份验证请求。

2. 认证服务器要求用户向其提供身份验证信息，可能会要求用户输入用户名和密码或使用双因素身份验证。

3. 认证服务器验证用户的身份，并返回一个ID令牌和Access令牌，以及用户的身份信息（例如，姓名和电子邮件地址）。

4. 客户端使用Access令牌向资源服务器请求受保护资源。

5. 资源服务器验证Access令牌，如果有效则返回所请求的受保护资源。

OIDC认证流程(Point)

基于授权码的请求

1. scope：必须。OIDC的请求必须包含值为“openid”的scope的参数。

2. response_type：必选。同OAuth2。

3. client_id：必选。同OAuth2。

4. redirect_uri：必选。同OAuth2。

5. state：推荐。同OAuth2。防止CSRF, XSRF。

HTTP/1.1 302 Found Location: https://client.example.org/cb? code=SplxlOBeZQQYbYS6WxSbIA &state=af0ifjsldkj

HTTP/1.1 200 OK Content-Type: application/json Cache-Control: no-store Pragma: no-cache { "access_token": "SlAV32hkKG", "token_type": "Bearer", "refresh_token": "8xLOxBtZp8", "expires_in": 3600, "id_token": "eyJhbGciOiJSUzI1NiIsImtpZCI6IjFlOWdkazcifQ.ewogImlzc yI6ICJodHRwOi8vc2VydmVyLmV4YW1wbGUuY29tIiwKICJzdWIiOiAiMjQ4Mjg5 NzYxMDAxIiwKICJhdWQiOiAiczZCaGRSa3F0MyIsCiAibm9uY2UiOiAibi0wUzZ fV3pBMk1qIiwKICJleHAiOiAxMzExMjgxOTcwLAogImlhdCI6IDEzMTEyODA5Nz AKfQ.ggW8hZ1EuVLuxNuuIJKX_V8a_OMXzR0EHR9R6jgdqrOOF4daGU96Sr_P6q Jp6IcmD3HP99Obi1PRs-cwh3LO-p146waJ8IhehcwL7F09JdijmBqkvPeB2T9CJ NqeGpe-gccMg4vfKjkM8FcGvnzZUN4_KSP0aAp1tOJ1zZwgjxqGByKHiOtX7Tpd QyHE5lcMiKPXfEIQILVq0pc_E2DzL7emopWoaoZTF_m0_N0YzFC6g6EJbOEoRoS K5hoDalrcvRYLSrQAZZKflyuVCyixEoV9GfNQC3_osjzw2PAithfubEEBLuVVk4 XUVrWOLrLl0nx7RkKU8NXNHq-rvKMzqg" }

CSRF(Point)

1. 使用随机数生成器生成一个 Crypto-Secure 级别的随机字符串，作为 state 参数的值。

2. 将这个随机字符串保存在当前用户的 session 中。

3. 将这个随机字符串作为 OIDC 的 Authentication Request 请求中的 state 参数的值。

4. 在返回认证服务器的认证结果时，认证服务器会包含原始的 state 参数值。检查这个原始的 state 参数值是否与当前用户的 session 中保存的值相同。

5. 如果原始 state 参数值与保存在 session 中的不同，则认为这是一个 CSRF/XSRF 攻击，拒绝认证请求，并记录日志进行审计。

bearer token

KeyCloak

介绍

1. Users: 用户，使用并需要登录系统的对象

2. Roles: 角色，用来对用户的权限进行管理

3. Clients: 客户端，需要接入Keycloak并被Keycloak保护的应用和服务

4. Realms: 领域，领域管理着一批用户、证书、角色、组等，一个用户只能属于并且能登陆到一个域，域之间是互相独立隔离的， 一个域只能管理它下面所属的用户

安装使用

1. 不过这个例子主要是对客户端授权的：13-SpringSecurity：OpenID与Keycloak - 掘金 (juejin.cn)

KeyCloak使用问题

• 新老版本的UI问题。找了很久没有配置授权服务器的完整信息，只能通过这个URL获取信息http://127.0.0.1:8080/realms/test-realm/.well-known/openid-configuration。

• KeyCloak可以尝试不同的模式，对应于OAuth2协议不同模型。但是基于OIDC最简单的情况只需要通过账户密码获取access_token即可。客户端授权模式使用不到。

高级特性

实战测试

准备

1. Authorization Code 授权码

2. Client Credentials 客户凭证

3. Refresh Token

4. Implicit Flow 隐式流程（Legacy）

5. Password Grant 密码模式（Legacy）

Password Grant 密码模式-Legacy

密码授予类型是一种将用户凭据交换为访问令牌的传统方式。由于客户端应用程序必须收集用户的密码并将其发送到授权服务器，因此建议不再使用此授权。 最新的 OAuth 2.0 安全当前最佳实践完全不允许密码授予，并且 OAuth 2.1 中未定义授予。

scope

REQUIRED. OpenID Connect requests MUST contain the openid scope value. If the openid scope value is not present, the behavior is entirely unspecified.

Client Credentials 客户凭证

• 客户端必须有私钥和证书。对于 Keycloak，这可以通过传统的 keystore 文件获得，该文件可以在客户端应用程序的类路径或文件系统的某处获得。（也可以通过keycloak生成） •在身份验证期间，客户端生成一个 JWT 令牌并使用其私钥对其进行签名，并在特定的反向通道请求（例如，code-to-token 请求）中将其发送到 client_assertion 参数中的 Keycloak。 •Keycloak必须有客户端的公钥或证书，才能在JWT上验证签名。在 Keycloak 中，您需要为您的客户端配置客户端凭据。首先，您需要在管理控制台的 Credentials 选项卡中选择 Signed JWT 作为对您的客户端进行身份验证的方法。然后你可以在标签 Keys 中选择： ◦ 以 PEM 格式、JWK 格式或从密钥库上传客户端的公钥或证书。使用此选项，公钥是硬编码的，并且在客户端生成新密钥对时必须更改。如果您没有自己的密钥库，您甚至可以从 Keycloak 管理控制台生成自己的密钥库。有关如何设置 Keycloak 管理控制台的更多详细信息，请参阅服务器管理指南。

1. 一般都用非对称加密，RS256.

1. 在keycloak中生成秘钥。生成的是keystore，包含口令访问。保存选PKCS12，格式更通用。

1. 使用以下命令提取私钥.from here

1. 拿着pcks8，去生成jwt。jwt需要包含的参数如下。from here



可以到jwt.io中生成。示例如下：
header:
payload:
在signature的private key中，添加前面生成的pkcs8.

2. 构造HTTP请求

3. Response
解析和secret的结果是一样的。

Refresh Token

当访问令牌过期时，客户端使用刷新令牌授权类型将刷新令牌交换为访问令牌。

这允许客户端继续拥有有效的访问令牌，而无需与用户进一步交互。

Authorization Code 授权码

机密客户端和公共客户端使用授权代码授予类型来交换访问令牌的授权代码。

用户通过重定向 URL 返回到客户端后，应用程序将从 URL 获取授权代码，并使用它来请求访问令牌。

步骤（from openid connect）

1. Client prepares an Authentication Request containing the desired request parameters.

2. Client sends the request to the Authorization Server.

3. Authorization Server Authenticates the End-User.

4. Authorization Server obtains End-User Consent/Authorization.

5. Authorization Server sends the End-User back to the Client with an Authorization Code.

6. Client requests a response using the Authorization Code at the Token Endpoint.

7. Client receives a response that contains an ID Token and Access Token in the response body.

8. Client validates the ID token and retrieves the End-User's Subject Identifier.

1. 步骤1 prepare：打开https://www.keycloak.org/app/，后输入自己realm和client后，点击保存，此时该示例网站记录到要交互的授权服务器相关信息。https://www.keycloak.org/app/#url=http://localhost:8080&realm=test-realm&client=springsecurity
默认测试的本地授权服务器在localhost:8080. 只要知道realm名称和client id，就可以组织发送请求到授权服务器的auth端点。（其他url是固定的）

2. 步骤2 send request：点击sign in. 第一次客户端发送： http://localhost:8080/realms/test-realm/protocol/openid-connect/auth?client_id=springsecurity&redirect_uri=https%3A%2F%2Fwww.keycloak.org%2Fapp%2F%23url%3Dhttp%3A%2F%2Flocalhost%3A8080%26realm%3Dtest-realm%26client%3Dspringsecurity&state=42c9b640-316b-458c-a737-a028b305010c&response_mode=fragment&response_type=code&scope=openid&nonce=e9c51064-0ca2-4431-bd9a-17d6e84d424c
auth_endpoint是：http://localhost:8080/realms/test-realm/protocol/openid-connect/auth，可以在configuration中看到。必要的授权请求参数由：client_id、redirect_uri、response_type、scope=openid。
• client id标识访问的客户端身份。
• redirect uri是oauth2协议标准。因为授权服务器会用户提供认证信息，授权服务器认证通过后，将code这个敏感信息返回，但是不能直接作为HTTP reponse请求返回，避免浏览器、UserAgent看到（参考前面的流程图），而是跳转到客户端中事先在授权服务器注册好的一个URL。表示这个code仅交给可信任方。
• scope。对于oidc协议，必须为openid
点击signin发出这个请求后，后续就会跳转到授权服务器的范畴。

3. 步骤3 Authenticates the End-User。进入auth端点。在auth端点中，提供用户认证信息，主要就是输入账户密码进行用户认证。

4. 步骤4. 授权服务器验证用户身份。基于以下的请求，返回302
http://localhost:8080/realms/test-realm/login-actions/authenticate?session_code=gYbTaTk3T2l1e5PlNTGagAfFoxKXUIHqyvXRLLzOuZI&execution=93556663-1af2-40f4-bf21-226420ccc36a&client_id=springsecurity&tab_id=BKIiR459ebs



这个时候同时看到把identify这些token已经返回到cookie里面了，当然这个cookie是HTTP Only的，同时也只是授权服务器在本地的cookie。

5. 步骤5验证成功后，返回授权码到前面的redirect url。即点击sign in后，会跳回前面https://www.keycloak.org/app/#url=http://localhost:8080&realm=test-realm&client=springsecurity的URL。
根据上一个302的请求，可以看到返回的Location为：
https://www.keycloak.org/app/#url=http://localhost:8080&realm=test-realm&client=springsecurity&state=744225f8-4403-4f1b-8ed1-9baefd570c25&session_state=578b2846-6c5c-4906-9f47-417661d13018&code=6ff466cb-3f09-4b18-a5b3-6ed0500f6b23.578b2846-6c5c-4906-9f47-417661d13018.f5635350-9dce-47aa-85cd-296e268daa40
重点是返回了code。

6. 步骤6. 客户端使用这个code，组织发送新的请求（客户端需要提供redirect url这个接口，当从授权服务器返回调用这个接口时，这个接口取出code，再获取token）。
请求：http://localhost:8080/realms/test-realm/protocol/openid-connect/token

7. 步骤7. 收到授权服务器提供的token.

1. 对授权服务器的auth端点，构建一个请求。
http://127.0.0.1:8080/realms/test-realm/protocol/openid-connect/auth?response_type=code&scope=openid&client_id=springsecurity&redirect_uri=http://olimi.icu
这个redirect我用自己的网站，跳转后手动拿到code再自己发送一次请求即可。（不要用百度！百度这家伙拿到code的那次请求还真给我用了，code用一次就用不了了。）当然了这个redirect url要在keycloak中注册。



因为要输入认证信息，就不在postman中请求，而是直接到浏览器中访问即可。

2. 发送该请求。

3. 进入端点、认证信息、返回redirect。要注意的是前面说到这个auth端点会保存cookie，所以前面认证过后，再次发送对auth的请求，会根据cookie直接认证通过。
https://olimi.icu/?session_state=4595a24e-4c10-43cd-8e5c-e4e7e51b12b6&code=4bc51666-3927-4013-b16a-f2fdf6a16d83.4595a24e-4c10-43cd-8e5c-e4e7e51b12b6.f5635350-9dce-47aa-85cd-296e268daa40

4. 拿着code，用code请求token。
返回

Implicit Flow 隐式流程（Legacy）

总结

扩展-PKCE

PKCE （RFC 7636） 是授权代码流的扩展，用于防止 CSRF 和授权代码注入攻击。

PKCE 不是客户端身份验证的一种形式，PKCE 也不是客户端密码或其他客户端身份验证的替代品。即使客户端使用客户端密码或其他形式的客户端身份验证（如 private_key_jwt），也建议使用 PKCE。

注意：由于 PKCE 不能替代客户端身份验证，因此它不允许将公共客户端视为机密客户端。

PKCE 最初旨在保护移动应用程序中的授权代码流，但其阻止授权代码注入的能力使其适用于每种类型的 OAuth 客户端，甚至是使用客户端身份验证的 Web 应用程序。