Comment implémenter l'authentification du service d'autorisation OAuth2.0 dans nodejs

Cet article présente principalement nodejs pour implémenter l'authentification du service d'autorisation OAuth2.0. Maintenant, je le partage avec vous et le donne comme référence.

OAuth est une norme réseau pour l'autorisation de développement. L'orthographe complète est autorisation ouverte, ce qui signifie autorisation ouverte. La dernière version du protocole est 2.0.

Par exemple :

Il existe un site Web « d'impression cloud » qui peut imprimer les photos stockées par les utilisateurs sur Google. Pour utiliser ce service, les utilisateurs doivent laisser « Cloud Print » lire leurs photos stockées sur Google.

La méthode traditionnelle consiste pour l'utilisateur à indiquer à "Cloud Print" son nom d'utilisateur et son mot de passe Google, et ce dernier peut lire les photos de l'utilisateur. Cette approche présente plusieurs inconvénients sérieux.

1. "Cloud Printing" enregistrera le mot de passe de l'utilisateur pour les services ultérieurs, ce qui est très dangereux.

2. Google doit déployer une connexion par mot de passe, et nous savons qu'une simple connexion par mot de passe n'est pas sûre.

3. "Cloud Print" a le pouvoir d'obtenir toutes les données de l'utilisateur stockées dans Google, et les utilisateurs ne peuvent pas limiter la portée et la période de validité de l'autorisation "Cloud Print".

4. Les utilisateurs ne peuvent reprendre le pouvoir accordé à « Cloud Printing » qu'en changeant leur mot de passe. Cependant, cela invaliderait toutes les autres applications tierces autorisées par l'utilisateur.

5. Tant qu'une application tierce est piratée, cela entraînera la fuite des mots de passe des utilisateurs et la fuite de toutes les données protégées par mot de passe.

Alors OAuth est né !

1. Application tierce : Application tierce, également appelée « client » dans cet article, qui est le « cloud printing » dans l'exemple de la section précédente.

2. Service HTTP : fournisseur de services HTTP, appelé « fournisseur de services » dans cet article, qui est Google dans l'exemple de la section précédente.

3. Propriétaire de la ressource : Propriétaire de la ressource, également appelé "utilisateur" dans cet article.

4. User Agent : Agent utilisateur, dans cet article fait référence au navigateur.

5. Serveur d'autorisation : serveur d'authentification, c'est-à-dire un serveur spécifiquement utilisé par le fournisseur de services pour gérer l'authentification.

6. Serveur de ressources : serveur de ressources, c'est-à-dire le serveur sur lequel le fournisseur de services stocke les ressources générées par l'utilisateur. Lui et le serveur d'authentification peuvent être le même serveur ou des serveurs différents.

La couche de connexion fournit la génération de jetons, où les jetons incluent : la période de validité et la portée de l'autorisation. Le client obtient le jeton pour accéder aux ressources restreintes.

1. access_token : Le jeton qui doit être transporté lors de la demande de ressources, c'est-à-dire le jeton d'accès.

2. refresh_token : Jeton d'actualisation. Si le access_token expire, vous pouvez utiliser ce jeton pour obtenir un nouveau access_token et un nouveau rafraîchissement_token. Généralement,fresh_token a une validité plus longue, par exemple un an, tandis que access_token a une validité plus courte, par exemple quelques minutes.

3. Étendue de l'autorisation : spécifiez la plage d'autorisations de ressources que le client peut obtenir.

Mode d'autorisation OAuth

OAuth dispose de quatre modes d'autorisation, à savoir :

1. Autorisation Code d'autorisation

2. Mode simplifié (implicite)

3. Mode mot de passe (identifiants du mot de passe du propriétaire de la ressource)

4. Client mode (identifiants du client)

1. Mode code d'autorisation

Le mode code d'autorisation est le mode d'autorisation le plus strict, le processus global est le suivant : Le navigateur transmet les informations nécessaires à la page d'autorisation. Après une connexion normale réussie, un code (code d'autorisation) est renvoyé. Une fois que le client a obtenu le code, il obtient le code en arrière-plan en échange d'un jeton.

2. Mode mot de passe

Le mode mot de passe est simplement compris comme l'utilisation de l'utilisateur. les étapes pour obtenir access_token sont les suivantes :

1. L'utilisateur fournit le nom d'utilisateur et le mot de passe au client.

2. Le client envoie le nom d'utilisateur et le mot de passe au serveur d'authentification et demande un token à ce dernier.

3. Une fois que le serveur d'authentification a confirmé qu'il est correct, il fournit le jeton d'accès au client.

3. L'application de rafraîchir_token

refresh_token est utilisée pour obtenir de nouveaux access_token et rafraîchir_token, utilisez le La méthode est simple comme suit :

refresh_token n'est pas valide :

Utilisez nodejs pour implémenter le service d'autorisation OAuth

Pile technologique :

1. nodejs + eggjs

2. plug-in eggjs-oAuth-server

Pour plus de détails, veuillez vous référer à :
https://github.com/Azard/egg-oauth2-server
https://cnodejs.org/topic/592b2aedba8670562a40f60b

1. Test du mode d'octroi de code et implémentation de l'authentification unique

Ici, nous construisons deux sites, l'un est le port 7001 (service d'autorisation) et l'autre est le port 7002 ( client), autorisation Le mode est l'octroi de code.

Le premier est la page de connexion client :

Cliquez sur le bouton pour vous connecter directement :

On constate que le navigateur redirige vers l'adresse de service autorisée et porte les trois paramètres response_type, client_id, redirect_uri Après une connexion réussie, le navigateur redirigera vers l'adresse spécifiée par redirect_uri , c'est-à-dire *http://127.0.0.1:7002/auth/redirect* ici :

Voici la méthode d'écriture de la page de connexion du service d'autorisation

<form action="/oauth2/authorize?{{query}}" id="form1" name="f" method="post">
  <p class="input_outer">
    <span class="u_user"></span>
    <input name="username" class="text" style="color: #FFFFFF !important" type="text" placeholder="请输入账户">
  </p>
  <p class="input_outer">
    <span class="us_uer"></span>
    <input name="password" class="text" style="color: #FFFFFF !important; position:absolute; z-index:100;"value="" type="password" placeholder="请输入密码">
  </p>
  <p class="mb2"><a class="act-but submit" href="javascript:;" rel="external nofollow" onclick="document.getElementById(&#39;form1&#39;).submit()" style="color: #FFFFFF">登录</a></p>
</form>

Ici

${ query} est la requête complète portée par la redirection de connexion client, puis la méthode d'écriture de la route /oauth2/authorize :

app.all('/oauth2/authorize', app.oAuth2Server.authorize());// 获取授权码

Appelez ici

app.oAuth2Server .authorize(), le plug-in effectuera automatiquement une opération de redirection. Tout d'abord, il redirigera vers l'adresse spécifiée par le client. Une fois que le client aura obtenu le code et l'état, il sera redirigé vers l'adresse spécifiée par le client. ira ensuite à la couche d'autorisation pour obtenir le token :

async redirect(){
  // 服务端重定向过来的
  console.log(this.ctx.query)
  const result = await this.ctx.curl('http://127.0.0.1:7001/users/token', {
   dataType: 'json',
   // contentType: 'application/x-www-form-urlencoded', // 默认格式
   method: 'POST',
   timeout: 3000,
   data: {
    grant_type: 'authorization_code',
    code: this.ctx.query.code,
    state: this.ctx.query.state,
    client_id: client_id,
    client_secret: client_secret,
    redirect_uri: redirect_uri,
   }
  });
  this.ctx.body = result.data;
 }

Retournez normalement après avoir obtenu le token :

2. mode test

Utilisez d'abord le nom d'utilisateur et le mot de passe pour obtenir access_token :

Retour lorsque le nom d'utilisateur ou le mot de passe est erroné :

Utilisez le jeton pour obtenir les ressources autorisées et revenez normalement :

Résumé

1. Lors de l'utilisation réelle d'OAuth, https doit être utilisé, y compris le client et le serveur d'autorisation

2. Le service d'autorisation peut utiliser une signature à clé privée et le client utilise la vérification par clé publique pour garantir que les données sécurité

Ce qui précède est ce que j'ai compilé pour tout le monde, j'espère qu'il sera utilisé à l'avenir Utile à tout le monde.

Articles connexes :

Comment créer une salle de discussion multi-personnes dans l'environnement nodejs+express

Expliqué en détail dans Vue+ webpack Configuration de base

Interprétation détaillée de la séparation et de la combinaison de vue-admin et backend (flask)

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!