【OAuth2】十九、OpenID Connect 动态客户端注册

待我称王封你为后i 2023-10-09 14:35 20阅读 0赞

## 一、OpenID定义了客户信息注册 ##

[参考的][Link 1]  
OpenID Connect 1.0 是 OAuth 2.0 协议之上的简单身份层。它使客户端能够根据授权服务器执行的身份验证验证最终用户的身份，并以可互操作和类似 REST 的方式获取有关最终用户的基本配置文件信息。

该规范定义了 OpenID Connect 依赖方如何动态地向最终用户的 OpenID 提供者注册，向 OpenID 提供者提供有关自身的信息，并获取使用它所需的信息，包括此依赖方的 OAuth 2.0 客户端 ID。

### 二、客户端元数据 ###

客户端具有与其在授权服务器上的唯一客户端标识符相关联的元数据。这些范围可以从面向人的显示字符串（例如客户端名称）到影响协议安全性的项目（例如有效重定向 URI 列表）。

*  客户端元数据值以两种方式使用：

作为注册请求的输入值，以及  
作为注册响应和读取响应中的输出值

### 1、OpenID Connect 客户端元数据值： ###

*  redirect\_uris
 *  response\_types
 *  grant\_types  
    OpenID Connect 使用的授权类型值为：  
    **authorization\_code：OAuth** 授权代码授予类型。  
    **implicit：OAuth** 隐式授权类型。  
    **refresh\_token：OAuth**刷新令牌授予类型。  
    客户端将使用的 response\_type 值和 必须包含在已注册的grant\_types列表 中的grant\_type值之间的对应关系：
 *   *  code: authorization\_code
 *  \-id\_token: implicit
 *  \-token id\_token: implicit
 *  \-code id\_token: authorization\_code, implicit
 *  \-code token: authorization\_code, implicit
 *  \-code token id\_token: authorization\_code, implicit
 *  client\_name
 *  tos\_uri
 *  policy\_uri
 *  logo\_uri
 *  client\_uri  
    **在Spring Authorization Server中元数据在OidcClientRegistration**  
    ![在这里插入图片描述][ccdc9869712e441a9855e7011daa39cd.png]

### 2、客户端注册端点/connect/registe-请求 ###

为了在授权服务器上注册一个新的客户端，客户端向客户端注册端点发送一条 请求路径为 `/connect/registe的HTTP POST`消息，其中包含客户端在注册期间选择为自己指定的任何客户端元数据参数。授权服务器为这个客户端分配一个唯一的客户端标识符，可选地分配一个客户端秘密，并将请求中给出的元数据与发出的客户端标识符相关联。授权服务器可以为客户端元数据中省略的任何项目提供默认值。就是授权服务器（OP）提供了一个资源接口，通过特定的scope的访问令牌来进行注册客户端的请求

POST /connect/register HTTP/1.1
      Content-Type: application/json
      Accept: application/json
      Host: server.example.com
      Authorization: Bearer eyJhbGciOiJSUzI1NiJ9.eyJ
    
      {
        
       "application_type": "web",
       "redirect_uris":
         ["https://client.example.org/callback",
          "https://client.example.org/callback2"],
       "client_name": "My Example",
       "logo_uri": "https://client.example.org/logo.png",
       "subject_type": "pairwise",
       "sector_identifier_uri":
         "https://other.example.net/file_of_redirect_uris.json",
       "token_endpoint_auth_method": "client_secret_basic",
       "jwks_uri": "https://client.example.org/my_public_keys.jwks",
       "userinfo_encrypted_response_alg": "RSA1_5",
       "userinfo_encrypted_response_enc": "A128CBC-HS256",
       "contacts": ["ve7jtb@example.org", "mary@example.org"],
       "request_uris":
         ["https://client.example.org/rf.txt
           #qpXaRLh_n93TTR9F252ValdatUQvQiJi5BDub2BeznA"]
      }

成功注册后，客户端注册端点返回新创建的客户端标识符和（如果适用）客户端密码，以及有关此客户端的所有已注册元数据，包括授权服务器本身提供的任何字段。授权服务器可以拒绝或替换任何客户端请求的字段值，并用合适的值替换它们。如果发生这种情况，授权服务器必须在对客户端的响应中包含这些字段。授权服务器可以忽略客户端提供的值，并且必须忽略客户端发送的任何它不理解的字段。

### 3、客户端注册端点/connect/registe-响应 ###

*  **client\_id**  
    必需的。唯一的客户标识符。它目前不得对任何其他注册客户有效。
 *  **client\_secret**  
    可选的。客户机密。不得将相同的客户端密钥值分配给多个客户端。机密客户端使用此值向令牌端点进行身份验证，如 OAuth 2.0 的第 2.3.1 节所述，并用于推导对称加密密钥值，如OpenID Connect Core 1.0 \[OpenID.Core\]的第 10.2 节所述. 除非使用对称加密 ， 否则客户端不需要选择private\_key\_jwt的- token\_endpoint\_auth\_method 。
 *  **注册访问令牌**  
    可选的。注册访问令牌，可在客户端配置端点用于在客户端注册时执行后续操作。
 *  **注册客户端uri**  
    可选的。客户端配置端点的位置，注册访问令牌可用于在生成的客户端注册后执行后续操作。实现必须要么返回客户端配置端点和注册访问令牌，要么都不返回。
 *  **client\_id\_issued\_at**  
    可选的。发布客户端标识符的时间。它的值是一个 JSON 数字，表示从 1970-01-01T0:0:0Z 到日期/时间的秒数，以 UTC 度量。
 *  **client\_secret\_expires\_at**  
    如果发布了client\_secret，则需要。client\_secret过期的时间，如果不会过期，则为 0。它的值是一个 JSON 数字，表示从 1970-01-01T0:0:0Z 到日期/时间的秒数，以 UTC 度量。

HTTP/1.1 201 创建
      内容类型：应用程序/json
      缓存控制：无存储
      Pragma：无缓存
    
      {
        
       "client_id": "s6BhdRkqt3",
       “client_secret”：
         "ZJYCqe3GGRvdrudKyZS0XhGv_Z45DuKhCUk0gBR1vZk",
       “client_secret_expires_at”：1577858400，
       “registration_access_token”：
         "this.is.an.access.token.value.ffx83",
       “registration_client_uri”：
         "https://server.example.com/connect/register?client_id=s6BhdRkqt3",
       “token_endpoint_auth_method”：
         "client_secret_basic",
       “应用程序类型”：“网络”，
       “redirect_uris”：
         ["https://client.example.org/callback",
          "https://client.example.org/callback2"],
       "client_name": "我的例子",
       “client_name#ja-Jpan-JP”：
         “客户名称”，
       "logo_uri": "https://client.example.org/logo.png",
       “subject_type”：“成对”，
       “sector_identifier_uri”：
         "https://other.example.net/file_of_redirect_uris.json",
       "jwks_uri": "https://client.example.org/my_public_keys.jwks",
       “userinfo_encrypted_response_alg”：“RSA1_5”，
       "userinfo_encrypted_response_enc": "A128CBC-HS256",
       “联系人”：[“ve7jtb@example.org”，“mary@example.org”]，
       “request_uris”：
         ["https://client.example.org/rf.txt
           #qpXaRLh_n93TTR9F252ValdatUQvQiJi5BDub2BeznA”]
      }

### 3、根据client\_id读取 客户端注册端点 ###

如果客户端的初始注册返回了客户端配置端点和注册访问令牌，则可以通过使用注册访问令牌向客户端配置端点发出 HTTP GET请求来 读取授权服务器上客户端的当前配置。

GET /connect/register?client_id=s6BhdRkqt3 HTTP/1.1
      Accept: application/json
      Host: server.example.com
      Authorization: Bearer this.is.an.access.token.value.ffx83

### 4、小结 ###

OIDC定义了有限对外开放的客户端注册端点，这个端点在做开放平台的时候非常有用。

## 三 、Spring Authorization Server中如何实现这一功能。 ##

![在这里插入图片描述][4928185b10f746a595a86f147194e120.png]

*  上面代码中的OidcClientRegistrationEndpointConfigurer 并不是直接初始化的，也就是说OidcClientRegistrationEndpointFilter框架并没有设置
 *  这时就需要我们进行设置了。

OAuth2AuthorizationServerConfigurer<HttpSecurity> authorizationServerConfigurer =
                        new OAuth2AuthorizationServerConfigurer<>();
    authorizationServerConfigurer.oidc(oidcConfigurer ->
                       oidcConfigurer.clientRegistrationEndpoint(Customizer.withDefaults()));

### 1、OidcClientRegistrationEndpointFilter ###

![在这里插入图片描述][48444a0a465245a3ae43988a5aa9f084.png]  
OidcClientRegistrationEndpointFilter 拦截的请求为/connect/register  
![在这里插入图片描述][75d9271b00944a6c8f4b70f603986d7e.png]

### 2、OidcClientRegistrationAuthenticationProvider ###

OidcClientRegistrationAuthenticationToken交给OidcClientRegistrationAuthenticationProvider后，首先提取access\_token，查询校验access\_token。

然后查看OidcClientRegistrationAuthenticationToken是否封装了OidcClientRegistration，如果封装了就是新增或者更新；没有就是查询。  
![在这里插入图片描述][79849cc3d2e349369be40b35f19972f6.png]

*  一般注册和更新客户端信息是POST请求，查询是GET请求。
 *  GET请求，请求参数中需要携带client\_id。
 *  如果是POST请求，需要access\_token需要client.write的scope，并且该access\_token只能使用一次，注册客户端成功后会销毁该access\_token，同时新生成一个包含client.read的access\_token供GET请求查询使用。
 *  client\_secret\_basic模式下，客户端的client\_secret是被PasswordEncoder摘要过的密文，而这里并没有具体的实现。这就要求实现RegisteredClientRepository的时候加入相关的PasswordEncoder逻辑

## 四 、OpenID 提供的元信息 ##

[参考][Link 2]

### 1、OpenID 提供者配置请求 ###

使用 HTTP GET请求来查询 OpenID 提供者配置文档。

OP 将向 Issuer https://example.com发出以下请求以 获取其配置信息，因为 Issuer 不包含路径组件

GET /.well-known/openid-configuration HTTP/1.1
      Host: example.com

响应是一组关于 OpenID 提供者配置的声明，包括所有必要的端点和公钥位置信息。

### 2、OidcProviderConfigurationEndpointFilter ###

提供者响应数的数据是有该过滤器处理的  
![在这里插入图片描述][64f35b7b48b042e5913c089dbfe3b0e0.png]

[Link 1]: https://openid.net/specs/openid-connect-registration-1_0.html#LanguagesAndScripts
[ccdc9869712e441a9855e7011daa39cd.png]: https://img-blog.csdnimg.cn/ccdc9869712e441a9855e7011daa39cd.png
[4928185b10f746a595a86f147194e120.png]: https://img-blog.csdnimg.cn/4928185b10f746a595a86f147194e120.png
[48444a0a465245a3ae43988a5aa9f084.png]: https://img-blog.csdnimg.cn/48444a0a465245a3ae43988a5aa9f084.png
[75d9271b00944a6c8f4b70f603986d7e.png]: https://img-blog.csdnimg.cn/75d9271b00944a6c8f4b70f603986d7e.png
[79849cc3d2e349369be40b35f19972f6.png]: https://img-blog.csdnimg.cn/79849cc3d2e349369be40b35f19972f6.png
[Link 2]: https://openid.net/specs/openid-connect-discovery-1_0.html#ProviderConfigurationRequest
[64f35b7b48b042e5913c089dbfe3b0e0.png]: https://img-blog.csdnimg.cn/64f35b7b48b042e5913c089dbfe3b0e0.png