【51CTO.com快譯】作為開發(fā)人員，您一定聽說過OAuth 2.0和OpenID Connect(OIDC)吧?它們是用于向Web應(yīng)用程序添加身份驗(yàn)證和授權(quán)的兩款強(qiáng)大工具。

本文將向您展示如何使用Okta的新型內(nèi)聯(lián)鉤子(請參見：https://developer.okta.com/docs/reference/api/inline-hooks/)將信息傳遞到那些通過OIDC和OAuth獲得的令牌中。

首先，您將在Okta中設(shè)置OIDC應(yīng)用程序，以查看返回的令牌類型。然后，您將配置一個Spring Boot API應(yīng)用。通過各種API端點(diǎn)，您可以向Okta注冊令牌鉤子，并服務(wù)于Okta的令牌patch請求。在操作完成的時候，由于注冊了鉤子，您會發(fā)現(xiàn)有效載荷中的令牌。

在和本文一起動手實(shí)踐之前，請您事先設(shè)置好以下內(nèi)容：

• 通過https://developer.okta.com/signup/創(chuàng)建一個免費(fèi)的Okta開發(fā)者org。
• 安裝HTTPie(https://httpie.org/)，這是curl的替代品，以用來與API端點(diǎn)進(jìn)行交互。
• 安裝ngrok(https://ngrok.com/)，這是一個允許互聯(lián)網(wǎng)訪問本地運(yùn)行的服務(wù)器應(yīng)用。
• 可選：在https://signup.heroku.com/處創(chuàng)建一個免費(fèi)的Heroku帳戶。

下面，讓我們再來了解一下OIDC和OAuth的相關(guān)概念。

使用OAuth 2.0進(jìn)行委托授權(quán)

讓我們假想一個場景：諸如Yelp(譯者注：美國最大的點(diǎn)評網(wǎng)站)之類的客戶端應(yīng)用從諸如Google之類的認(rèn)證服務(wù)中請求訪問令牌。您作為資源所有者使用自己的憑據(jù)登錄Google，并將您的同意授予Yelp，以便其僅訪問自己的聯(lián)系人。因此，Yelp擁有了訪問令牌，可以通過Google的Contacts API請求資源服務(wù)器，以獲取您的聯(lián)系人信息。在此過程中，Yelp永遠(yuǎn)不會看到您的密碼，也永遠(yuǎn)不會訪問超出您同意范圍之外的內(nèi)容。并且，您可以隨時撤回自己的同意。

使用OpenID Connect進(jìn)行身份識別

在這個同意和授權(quán)環(huán)節(jié)中，您可以注意到它只缺少一樣?xùn)|西：身份。我們需要引入新的令牌：身份令牌，通過在OAuth 2.0之上的一層--OpenID Connect(OIDC)，來驗(yàn)證用戶的身份信息，并且以JWT(https://developer.okta.com/docs/api/resources/oidc#access-token)格式被編碼到經(jīng)由密碼簽名的令牌之中。這樣既保證了互操作性，又實(shí)現(xiàn)了單點(diǎn)登錄(Single Sign On)。

OAuth、以及OIDC擴(kuò)展使用各種已定義的流(Flows)來管理客戶端應(yīng)用、認(rèn)證服務(wù)器、以及資源服務(wù)器之間的交互。如下面的流程所示，我們將重點(diǎn)關(guān)注瀏覽器中的認(rèn)證代碼流(Authorization Code Flow)：

1. 為了訪問您的聯(lián)系人，Yelp通過一個按鈕來鏈接到您的Google通訊錄上。
2. 在單擊該按鈕后，您將被重定向到Google處，以使用自己的用戶名和密碼登錄。
3. Google通過顯示告知您Yelp希望以只讀的方式訪問您的聯(lián)系人。
4. 一旦您點(diǎn)擊同意，Google就會通過瀏覽器使用臨時代碼(稱為授權(quán)代碼)重定向回Yelp。
5. Yelp使用該代碼與Google交換訪問令牌。
6. 在完成所有的代碼驗(yàn)證之后，Google會向Yelp頒發(fā)功能有限(僅對您的聯(lián)系人有只讀的訪問權(quán)限)的訪問令牌。
7. Yelp將訪問令牌提供給Google Contacts API。
8. Google Contacts API驗(yàn)證該令牌，如果Yelp的請求與令牌標(biāo)識的功能相匹配，您的聯(lián)系人列表則會被返回給Yelp。

為OIDC和OAuth 2.0設(shè)置Okta Org

下面，您將在Okta中創(chuàng)建一個OpenID Connect應(yīng)用。

在登錄到Okta org后，您可以根據(jù)頂層菜單導(dǎo)航至“應(yīng)用程序”，單擊“添加應(yīng)用”，單擊標(biāo)簽為Web的第三個框，然后單擊下一步。

最后單擊完成。

在Heroku上的OIDC

為了執(zhí)行各種可用的流程，我創(chuàng)建了一個OIDC playground應(yīng)用。

在登錄到https://okta-oidc-fun.herokuapp.com后，您會看到一個帶有表單和一些切換按鈕的頁面。它默認(rèn)指向的是我的Okta org。當(dāng)然，您可以通過如下表格將其更改為自己的Okta org。

通過向下滾動并單擊鏈接，您可以啟動一個新選項(xiàng)卡，并在其中向Okta org進(jìn)行身份驗(yàn)證。然后，您將會被重定向回ID令牌和訪問令牌的位置。而通過單擊“驗(yàn)證ID令牌”，您將可以看到有效載荷已經(jīng)被編碼到了該令牌之中。

至此，您已經(jīng)了解了Okta中的OpenID Connect應(yīng)用是如何生成各種令牌的。下面，我們將討論如何創(chuàng)建一個將自定義聲明添加到ID令牌的鉤子。由于是發(fā)生在對ID令牌進(jìn)行簽名之前，因此您仍然可以安全地對密碼簽名進(jìn)行驗(yàn)證。

設(shè)置Favorite Beers API

請從GitHub上獲取本例的源代碼--https://github.com/oktadeveloper/okta-token-hooks-example。

這是一個Spring Boot類型的應(yīng)用，它使用Okta Spring Boot Starter，來輕松與OpenID Connect和OAuth 2.0相集成。它使用H2(https://www.h2database.com/html/main.html)內(nèi)存嵌入式數(shù)據(jù)庫和Spring Data JPA(https://spring.io/projects/spring-data-jpa)進(jìn)行簡單的對象關(guān)系映射，以及Lombok(https://projectlombok.org/)項(xiàng)目。該應(yīng)用程序指向您的Favorite Beers API，以及一個用于處理Okta傳入的鉤子請求，并返回ID令牌。

在src/main/resources文件夾中，您將看到application.sample.yml文件。您可以通過復(fù)制，由它在同一文件夾中產(chǎn)生application.yml文件。接著根據(jù)上述提到的設(shè)置，自定義application.yml文件的內(nèi)容，其中包括：issuer、clientId和clientSecret的值。同時，您也可以將id和password值更改為任何其他值。完成這些設(shè)置之后，您可以如下命令運(yùn)行應(yīng)用程序：

注意：您需要Java 11或更高的版本，才能運(yùn)行該示例。如果您使用的是Mac，則建議您使用SDKMAN(https://sdkman.io/)，來管理Java版本。

操作Beer應(yīng)用

在應(yīng)用啟動之后，您將看到如下輸出，它表明H2內(nèi)存數(shù)據(jù)庫里已填充了“啤酒”。

現(xiàn)在，您可以使用Beers API來添加自己喜歡的啤酒。不過，所有API端點(diǎn)都受到了OIDC的保護(hù)。請執(zhí)行如下命令，將啤酒添加到收藏夾列表之中：

如果一切順利，您將得到如下響應(yīng)：

至此，您已經(jīng)為該應(yīng)用程序都創(chuàng)建了一個新的啤酒條目，并將其添加到了自己的收藏夾列表中。

注意：由于該應(yīng)用程序使用的是內(nèi)存數(shù)據(jù)庫，因此如果重新啟動該應(yīng)用的話，則需要使用此API重新添加自己喜愛的啤酒。

下面，我們將設(shè)置一個內(nèi)聯(lián)鉤子，將beers聲明添加到自己的ID令牌中。

從ID令牌中獲取喜愛的啤酒

為了利用鉤子來處理API，Okta需要能夠通過公共互聯(lián)網(wǎng)來對其進(jìn)行調(diào)用。在現(xiàn)實(shí)生活中，您可以將應(yīng)用程序部署在某個地方并進(jìn)行設(shè)置，以方便Okta與之交互。而在此出于演示目的，我們將使用ngrok(https://ngrok.com/)服務(wù)，來發(fā)送一個唯一的、可公共尋址的域，以連接到本地運(yùn)行的Spring Boot應(yīng)用上。請?jiān)趩为?dú)的終端上運(yùn)行如下命令：

您將看到如下輸出：

請復(fù)制其https鏈接(例如：我所看到的是https://e3fc9a95.ngrok.io)，以備后續(xù)使用。

設(shè)置Okta內(nèi)聯(lián)鉤子

至此，可公開訪問的Spring Boot應(yīng)用已設(shè)置就緒，并可接收Okta的鉤子請求了。但是，我們的Okta org尚需進(jìn)行如下準(zhǔn)備：

首先，您需要向Okta注冊內(nèi)聯(lián)令牌鉤子。在Okta org的管理控制臺中，請依次進(jìn)入工作流->內(nèi)聯(lián)鉤子，單擊：添加內(nèi)聯(lián)鉤子->令牌。請?jiān)趯?yīng)的表單中輸入如下內(nèi)容，并點(diǎn)擊“保存”：

其中，Authentication field是Okta用來向鉤子提供身份驗(yàn)證的標(biāo)頭。而Authentication secret則是在授權(quán)標(biāo)頭中發(fā)送的值。

注意：請?jiān)赼pplication.yml文件中找到身份驗(yàn)證的密鑰值。如果鉤子ID和密碼值發(fā)生了改變，那么您需要重新計(jì)算基本的身份驗(yàn)證字符串，并將該值反映在上面的設(shè)置中。

至此，我們已在自己的Okta org中創(chuàng)建了鉤子。如下圖所示，Spring Boot應(yīng)用是通過WebSecurityConfiguration.java在鉤子的端點(diǎn)上啟用基本身份驗(yàn)證的：

基本身份驗(yàn)證被用于/api/hooks/**端點(diǎn)上，而OAuth 2.0則用于其他所有內(nèi)容。

令牌轉(zhuǎn)換內(nèi)聯(lián)鉤子的剖析

在配置授權(quán)服務(wù)器使用鉤子之前，讓我們先看一下代碼的核心。如下代碼使用HooksController的方法，可以讓ID令牌用您最喜歡的啤酒列表進(jìn)行patch。

TokenHookRequest的類(class)利用Lombok和一些默認(rèn)的初始化，來確保您不會收到NullPointerException。

Okta會向控制器發(fā)送許多令牌鉤子的請求。在此，我們僅針對需要的內(nèi)容使用@JsonIgnoreProperties(ignoreUnknown = true)注釋。如您想了解完整的JSON請求示例，請參見--https://developer.okta.com/docs/reference/token-hook/#sample-json-payload-of-a-request。

通過使用請求中的login值，該代碼將進(jìn)行數(shù)據(jù)庫查找，以檢索與關(guān)聯(lián)登錄的Person。此處Person的記錄是我們在將其添加到喜愛啤酒列表時被創(chuàng)建的。

同時，該代碼將設(shè)置TokenHookResponse，以便通過命令列表來patch ID令牌、并訪問aoken。其中，最關(guān)鍵的一行代碼是：

它將啤酒名稱列表添加到了beers聲明所附帶的回復(fù)之中。如下便是JSON響應(yīng)：

而最后一步則是：配置您的授權(quán)服務(wù)器，以使用該鉤子。

將啤酒添加進(jìn)您的ID令牌

請?jiān)陧攲硬藛沃幸来吸c(diǎn)擊API->授權(quán)服務(wù)器->默認(rèn)->訪問策略，向下滾動并點(diǎn)擊“默認(rèn)策略規(guī)則”旁的鉛筆圖標(biāo)。接著您可以從“使用該內(nèi)聯(lián)鉤子(Use this inline hook)菜單中，選擇“Beers Hook”，并點(diǎn)擊“更新規(guī)則”。

只要您在瀏覽器中輸入localhost:4040，便可看到ngrok的監(jiān)視界面。

如果回到前面的OIDC playground，您可以關(guān)閉帶有ID令牌和訪問令牌的結(jié)果標(biāo)簽。通過再次點(diǎn)擊playground上的鏈接，以及“驗(yàn)證ID令牌”按鈕，您將能夠看到beers聲明、以及已被添加到收藏夾中的任何啤酒。

通過切換回ngrok監(jiān)視選項(xiàng)卡，您可以看到Okta的請求和Spring Boot應(yīng)用的響應(yīng)。

總結(jié)

Okta Spring Boot Starter能夠使您通過幾行代碼、以及三個配置屬性，將Spring Boot應(yīng)用與Okta相集成。它不僅能夠讓Okta的OpenID Connect服務(wù)符合相關(guān)標(biāo)準(zhǔn)，而且還能為您提供全面的單點(diǎn)登錄體驗(yàn)。也就是說，同一用戶可以訪問許多不同的OIDC應(yīng)用，而每一個應(yīng)用都擁有自己的一套要求和配置。最后，請記住：OIDC不能夠獨(dú)立運(yùn)行，它需要運(yùn)行在OAuth 2.0之上。OAuth僅專注于授權(quán)，而OIDC則添加了身份識別與驗(yàn)證方面的服務(wù)。

原文標(biāo)題：Boost OAuth 2.0 and OpenID Connect Using Hooks，作者：Micah Silverman

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】