我试图系统化我的oauth + jwt + LDAP授权知识。我已经阅读了多篇优秀的文章(例如这篇),但仍有以下问题:
我的理解:
服务器端存储问题已经解决。
我将尝试在这里澄清一些概念:
OAuth和OpenID Connect(OIDC)本身只是身份验证机制。JWT只是在两个方之间传递已认证信息的一种方式。因此,您需要分离关注点。如果对于如何识别用户并确保其真实性有疑问,请查看OIDC或OAuth标准。如果不确定如何在各方之间安全地传递与用户相关的信息,请参阅JWT RFC及其相关的JWS、JWK、JWE等。
话虽如此:
完全正确。你理解的很对。
这取决于具体的实现方式,但一些有状态的方法是存在的,也有一些无状态的实现方式。JWT消费服务器(在Oauth术语中称为资源服务器)可能会将IdMS(在Oauth术语中称为授权服务器(名称不太准确))的签名密钥存储在缓存中,或预先配置好。这样,它可以验证来自IdMS的JWT访问令牌而无需进行任何请求。即使IdMS宕机也不会影响系统正常运行。在某些架构中,IdMS位于某个VPN后面,而资源服务器则在VPN外部。此外,还可以使用更有状态的方式针对introspection端点检查访问令牌。通过这种方式,在需要在资源服务器上进行每次验证时,都会向IdMS发出请求,以检查访问令牌是否仍然有效,并提取相关声明。当访问令牌不是JWT而是不透明对象时,也会使用后一种机制。
黑名单可能是一种方法,但通常使用Refresh Token机制。您可以给访问令牌设置一个非常短的生命周期,如1分钟,然后依赖刷新机制,以防会话被撤销。
从技术上讲,OpenID和OpenID Connect (OIDC)是不同的实现。简而言之,我们可以说OpenID是身份联合的旧实现,没有得到很大的采用。OpenID Connect是Oauth 2.0的演进版本,增加了JWT、ID令牌和其他一些好处。但是,JWT和OIDC不是独家实现方式。虽然OIDC强制使用JWT,但JWT也存在于OIDC之外。
如果您想在两个服务器之间授权请求,在基本级别上,可以使用简单的令牌(只需保持机密,并使用TLS)。但使用JWT所启用的是服务器可以信任中央IdMS而无需完全互相信任。在这种情况下使用Oauth是因为例如Google会相信自己和用户,但不会相信您的服务器。因此,认证发生在Google作为IdMS和用户之间,并生成一个JWT(并非总是如此,因此您可以看到我之前的陈述),您的服务器(信任外部IdMS)可以使用该JWT与Google通信。
正如已经提到的,组/角色管理与使用JWT/令牌是独立的。JWT/普通令牌只是传达身份验证信息的方式。
Oauth/OIDC上的LDAP位于身份验证阶段。当用户将其凭据发送到IdMS时,不是检查本地数据库,而是检查LDAP。某些高级IdMS还可以使用LDAP来检索策略、组或其他权限。但授权完成后,其余过程与通常相同。
References:
