nodejs에서 OAuth2.0 인증 서비스 인증을 구현하는 방법

이 글에서는 OAuth2.0 인증 서비스 인증을 구현하기 위한 nodejs를 주로 소개하고 있으니 참고용으로 올려보겠습니다.

OAuth는 개발 승인을 위한 네트워크 표준입니다. open Authorization로 표기하며, 이는 공개 승인을 의미합니다. 최신 프로토콜 버전은 2.0입니다.

예를 들면:

사용자가 Google에 저장한 사진을 인쇄할 수 있는 "클라우드 인쇄" 웹사이트가 있습니다. 이 서비스를 이용하려면 사용자는 Google에 저장된 사진을 '클라우드 프린트'에서 읽을 수 있도록 허용해야 합니다.

전통적인 방법은 사용자가 '클라우드 프린트'에 Google 사용자 이름과 비밀번호를 알려주면 후자가 사용자의 사진을 읽을 수 있는 것입니다. 이 접근 방식에는 몇 가지 심각한 단점이 있습니다.

1. "클라우드 프린팅"은 후속 서비스를 위해 사용자의 비밀번호를 저장하므로 매우 안전하지 않습니다.

2. Google은 비밀번호 로그인을 배포해야 하며 단순 비밀번호 로그인이 안전하지 않다는 것을 알고 있습니다.

3. "클라우드 프린트"는 Google에 저장된 모든 사용자 데이터를 얻을 수 있는 권리를 가지며, 사용자는 "클라우드 프린트" 승인의 범위와 유효 기간을 제한할 수 없습니다.

4. 사용자는 비밀번호를 변경해야만 "클라우드 프린팅"에 부여된 권한을 되돌릴 수 있습니다. 그러나 그렇게 하면 사용자가 승인한 다른 모든 타사 응용 프로그램이 무효화됩니다.

5. 하나의 타사 애플리케이션이 깨지는 한 사용자 비밀번호가 유출되고 비밀번호로 보호된 모든 데이터가 유출됩니다.

그래서 OAuth가 탄생했습니다!

1. 타사 애플리케이션: 이 문서에서는 "클라이언트"라고도 하는 타사 애플리케이션으로, 이전 섹션의 예에서는 "클라우드 인쇄"입니다.

2. HTTP 서비스: 이 문서에서는 "서비스 공급자"라고 하는 HTTP 서비스 공급자(이전 섹션의 예에서는 Google)입니다.

3. 리소스 소유자: 이 문서에서는 "사용자"라고도 하는 리소스 소유자입니다.

4. 사용자 에이전트: 이 문서에서 사용자 에이전트는 브라우저를 나타냅니다.

5. 인증 서버: 인증 서버는 서비스 제공자가 인증을 처리하기 위해 특별히 사용하는 서버입니다.

6. 리소스 서버: 리소스 서버, 즉 서비스 제공자가 사용자가 생성한 리소스를 저장하는 서버입니다. 해당 서버와 인증 서버는 동일한 서버일 수도 있고 다른 서버일 수도 있습니다.

로그인 레이어는 토큰 생성을 제공하며 토큰에는 유효 기간 및 권한 범위가 포함됩니다. 클라이언트는 제한된 리소스에 액세스하기 위해 토큰을 얻습니다.

1. access_token: 리소스를 요청할 때 휴대해야 하는 토큰, 즉 액세스 토큰입니다.

2. refresh_token: access_token이 만료되면 이 토큰을 사용하여 새 access_token과 새 Refresh_token을 얻을 수 있습니다. 일반적으로 Refresh_token의 유효 기간은 1년과 같이 더 길고, access_token의 유효 기간은 몇 분과 같이 짧습니다.

3. 권한 범위: 클라이언트가 얻을 수 있는 리소스 권한 범위를 지정합니다. ㅋㅋㅋ ) 비밀번호 자격 증명)

클라이언트 자격 증명

1. 인증 코드 모드

1. 인증 코드 모드는 가장 엄격한 인증 모드입니다. 전체 프로세스는 다음과 같습니다. 브라우저는 성공 후 필요한 정보를 인증 페이지로 전달합니다. 정상적인 로그인에서는 클라이언트가 코드를 얻은 후 토큰과 교환하여 백그라운드에서 코드를 얻습니다.

3. 2. 비밀번호 모드

4. 간단히 이해하면 비밀번호 모드는 사용자 이름 및 비밀번호와 같은 매개변수를 사용하여 access_token을 얻는 것입니다.

사용자가 사용자 이름을 제공합니다. 클라이언트에 대한 비밀번호입니다.

클라이언트는 사용자 이름과 비밀번호를 인증 서버에 보내고 인증 서버에 토큰을 요청합니다.

인증 서버는 그것이 올바른지 확인한 후 클라이언트에게 액세스 토큰을 제공합니다.

3.refresh_token 적용

1. refresh_token은 새로운 access_token 및 Refresh_token을 얻는 데 사용됩니다. 사용 방법은 다음과 같이 간단합니다.

2. refresh_token은 유효하지 않습니다.

3. 사용 OAuth 인증 서비스를 구현하는 nodejs

기술 스택:

nodejs + eggjs

eggjs-oAuth-server 플러그인

자세한 내용은 다음을 참조하세요.
https://github.com/Azard/egg-oauth2-server
https://cnodejs.org/topic/592b2aedba8670562a40f60b

1. -onimplementation

여기서 두 개의 사이트를 구축합니다. 하나는 포트 7001(인증 서비스)이고 다른 하나는 포트 7002(클라이언트)이며 인증 모드는 코드 부여입니다.

첫 번째는 클라이언트 로그인 페이지입니다.

버튼을 클릭하면 직접 로그인됩니다.

브라우저가 승인된 서비스 주소로 리디렉션되고 response_type, client_id,redirect_uri 매개변수를 전달하는 것을 볼 수 있습니다. 로그인에 성공하면 브라우저는 redirect_uri에 지정된 주소(*http://127.0.0.1:7002/auth/redirect*)로 리디렉션됩니다.

다음은 인증의 로그인 페이지를 작성하는 방법입니다. service

<form action="/oauth2/authorize?{{query}}" id="form1" name="f" method="post">
  <p class="input_outer">
    <span class="u_user"></span>
    <input name="username" class="text" style="color: #FFFFFF !important" type="text" placeholder="请输入账户">
  </p>
  <p class="input_outer">
    <span class="us_uer"></span>
    <input name="password" class="text" style="color: #FFFFFF !important; position:absolute; z-index:100;"value="" type="password" placeholder="请输入密码">
  </p>
  <p class="mb2"><a class="act-but submit" href="javascript:;" rel="external nofollow" onclick="document.getElementById(&#39;form1&#39;).submit()" style="color: #FFFFFF">登录</a></p>
</form>

여기 ${query}클라이언트 로그인 리디렉션에 의해 전달되는 전체 쿼리가 있으며, /oauth2/authorize 경로는 다음과 같이 작성됩니다.

app.all('/oauth2/authorize', app.oAuth2Server.authorize());// 获取授权码

app.oAuth2Server.authorize()를 호출할 때 여기에서 플러그인 리디렉션 작업은 먼저 클라이언트가 지정한 주소로 리디렉션됩니다. 그런 다음 클라이언트가 코드와 상태를 얻은 후 토큰을 얻기 위해 인증 레이어로 이동합니다.

async redirect(){
  // 服务端重定向过来的
  console.log(this.ctx.query)
  const result = await this.ctx.curl('http://127.0.0.1:7001/users/token', {
   dataType: 'json',
   // contentType: 'application/x-www-form-urlencoded', // 默认格式
   method: 'POST',
   timeout: 3000,
   data: {
    grant_type: 'authorization_code',
    code: this.ctx.query.code,
    state: this.ctx.query.state,
    client_id: client_id,
    client_secret: client_secret,
    redirect_uri: redirect_uri,
   }
  });
  this.ctx.body = result.data;
 }

토큰을 얻은 후 정상적으로 반환됩니다:

2 , 비밀번호 부여 모드 테스트

먼저 사용자 이름과 비밀번호를 사용하여 access_token을 얻습니다.

사용자 이름이나 비밀번호가 잘못된 경우 반환:

토큰을 사용하여 승인된 리소스 얻기 일반 반환:

Summary

1. 실제로 OAuth를 사용할 때는 클라이언트와 승인 서버를 포함하여 https로 이동해야 합니다

2. The 인증 서비스는 개인 키 서명을 사용할 수 있으며, 클라이언트는 데이터 보안을 보장하기 위해 공개 키 검증을 사용합니다

위는 제가 모든 사람을 위해 편집한 내용입니다. 앞으로 모든 사람에게 도움이 되기를 바랍니다.

관련 기사:

nodejs+express 환경에서 다자간 채팅방 만드는 방법

Vue+webpack의 기본 구성을 자세히 설명

vue-admin과 vue-admin의 분리에 대한 자세한 해석 백엔드(플라스크) 결합

위 내용은 nodejs에서 OAuth2.0 인증 서비스 인증을 구현하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!