"use strict"; const {Fragment: _Fragment, jsx: _jsx, jsxs: _jsxs} = arguments[0]; const {useMDXComponents: _provideComponents} = arguments[0]; const headings = [{ "data": { "id": "введение", "hProperties": { "id": "введение" } }, "depth": 2, "value": "Введение" }, { "data": { "id": "но-сначала-что-и-почему", "hProperties": { "id": "но-сначала-что-и-почему" } }, "depth": 2, "value": "Но сначала, что и почему?" }, { "data": { "id": "интеграция-сервера-oidc", "hProperties": { "id": "интеграция-сервера-oidc" } }, "depth": 2, "value": "Интеграция сервера OIDC" }, { "data": { "id": "найти-поставщика-oidc", "hProperties": { "id": "найти-поставщика-oidc" } }, "depth": 3, "value": "Найти поставщика OIDC" }, { "data": { "id": "субъект-клиент-и-аудитория", "hProperties": { "id": "субъект-клиент-и-аудитория" } }, "depth": 3, "value": "Субъект, клиент и аудитория" }, { "data": { "id": "1-пользователь-нажимает-на-кнопку-входа-в-веб-приложении", "hProperties": { "id": "1-пользователь-нажимает-на-кнопку-входа-в-веб-приложении" } }, "depth": 4, "value": "1. Пользователь нажимает на кнопку входа в веб-приложении" }, { "data": { "id": "2-пользователь-использует-одностраничное-приложение", "hProperties": { "id": "2-пользователь-использует-одностраничное-приложение" } }, "depth": 4, "value": "2. Пользователь использует одностраничное приложение" }, { "data": { "id": "3-общение-машина-машина", "hProperties": { "id": "3-общение-машина-машина" } }, "depth": 4, "value": "3. Общение машина-машина" }, { "data": { "id": "резюме", "hProperties": { "id": "резюме" } }, "depth": 4, "value": "Резюме" }, { "data": { "id": "токены", "hProperties": { "id": "токены" } }, "depth": 3, "value": "Токены" }, { "data": { "id": "несколько-аудиторий", "hProperties": { "id": "несколько-аудиторий" } }, "depth": 3, "value": "Несколько аудиторий" }, { "data": { "id": "указать-resource-в-запросе-обмена-кодом", "hProperties": { "id": "указать-resource-в-запросе-обмена-кодом" } }, "depth": 4, "value": "Указать resource в запросе обмена кодом" }, { "data": { "id": "использовать-refresh-token-для-получения-нового-access-token", "hProperties": { "id": "использовать-refresh-token-для-получения-нового-access-token" } }, "depth": 4, "value": "Использовать refresh token для получения нового access token" }, { "data": { "id": "грант-с-данными-клиента", "hProperties": { "id": "грант-с-данными-клиента" } }, "depth": 4, "value": "Грант с данными клиента" }, { "data": { "id": "защита-вашего-api-сервиса", "hProperties": { "id": "защита-вашего-api-сервиса" } }, "depth": 3, "value": "Защита вашего API-сервиса" }, { "data": { "id": "утверждать-утверждения", "hProperties": { "id": "утверждать-утверждения" } }, "depth": 4, "value": "Утверждать утверждения" }, { "data": { "id": "авторизация", "hProperties": { "id": "авторизация" } }, "depth": 2, "value": "Авторизация" }, { "data": { "id": "заключительные-замечания", "hProperties": { "id": "заключительные-замечания" } }, "depth": 2, "value": "Заключительные замечания" }]; const readingTime = { "minutes": 2, "words": 654, "text": "2 min read" }; const frontmatter = undefined; function _createMdxContent(props) { const _components = { a: "a", blockquote: "blockquote", code: "code", em: "em", h2: "h2", h3: "h3", h4: "h4", li: "li", p: "p", pre: "pre", span: "span", strong: "strong", ul: "ul", ..._provideComponents(), ...props.components }, {Info, LogtoCloudButton, Note} = _components; if (!Info) _missingMdxReference("Info", true); if (!LogtoCloudButton) _missingMdxReference("LogtoCloudButton", true); if (!Note) _missingMdxReference("Note", true); return _jsxs(_Fragment, { children: [_jsxs(_components.h2, { id: "введение", children: ["Введение", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#введение", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Вы можете столкнуться с ситуацией, когда вам нужна централизованная система аутентификации и авторизации, то есть система управления доступом к идентификации (IAM) или поставщик идентификации (IdP). Иногда люди добавляют слово для обозначения бизнеса, например, Customer IAM и Workforce IAM." }), "\n", _jsx(_components.p, { children: "Давайте на минуту забудем об этих красивых названиях. Необходимость в IAM может возникнуть, потому что ваше приложение растет или вы планируете поручить тяжелую работу поставщику с самого начала. Тем не менее, вы достигаете точки, когда система идентификации будет введена в ваш проект." }), "\n", _jsx(_components.p, { children: "Учитывая популярность OAuth 2.0, OpenID Connect (OIDC) является естественным выбором для многих разработчиков. Поскольку OIDC является уровнем аутентификации, построенным на основе OAuth 2.0, вы можете почувствовать себя знакомым, начиная работать с OIDC. Давайте начнем!" }), "\n", _jsxs(_components.h2, { id: "но-сначала-что-и-почему", children: ["Но сначала, что и почему?", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#но-сначала-что-и-почему", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.blockquote, { children: ["\n", _jsx(_components.p, { children: "Не стесняйтесь пропустить этот раздел, если вы уже знакомы с концепцией поставщика идентификации и ее важностью." }), "\n"] }), "\n", _jsxs(_components.p, { children: ["Сервер OIDC, или поставщик идентификации, это централизованная система, которая управляет аутентификацией и авторизацией пользователей. Как мы обсуждали в ", _jsx(_components.a, { href: "https://blog.logto.io/centralized-identity-system", children: "Почему вам нужна централизованная система идентификации для многопрограммного бизнеса" }), ", централизованная система идентификации имеет много преимуществ."] }), "\n", _jsx(_components.p, { children: "Предположим, ваш проект начинается с простого веб-приложения, и у него встроена аутентификация:" }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: "graph LR\n A[Пользователь] --> B[Веб-приложение]\n" }) }), "\n", _jsx(_components.p, { children: "По мере роста вашего проекта, вам нужно ввести мобильную версию:" }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: "graph LR\n A[Пользователь] --> B[Веб-приложение]\n A --> C[Мобильное приложение]\n" }) }), "\n", _jsx(_components.p, { children: "Это будет плохой опыт для пользователей, если им нужно создавать учетную запись для каждого приложения. Поскольку вы начали с веб-приложения, вы позволяете мобильному приложению общаться с веб-приложением для аутентификации:" }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: "graph LR\n A[Пользователь] --> B[Веб-приложение]\n A --> C[Мобильное приложение]\n C --> B\n" }) }), "\n", _jsx(_components.p, { children: "Теперь вводится новый API-сервис. Поскольку это сервис для платных пользователей, вы должны убедиться, что пользователь аутентифицирован и авторизован для доступа к сервису. Чтобы достичь этого, вы можете выполнять проксирование сервиса через веб-приложение:" }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: "graph LR\n A[Пользователь] --> B[Веб-приложение]\n A --> C[Мобильное приложение]\n C --> B\n B --> D[API-сервис]\n" }) }), "\n", _jsx(_components.p, { children: "Или используйте технику токенов для аутентификации пользователя, и валидируйте токен, используя веб-приложение в сервисе. Таким образом, мобильное приложение может использовать сервис напрямую:" }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: "graph LR\n A[Пользователь] --> B[Веб-приложение]\n A --> C[Мобильное приложение]\n C --> B\n B <--> D[API-сервис]\n C --> D\n" }) }), "\n", _jsx(_components.p, { children: "Вещи становятся запутанными. Поэтому вы принимаете решение разделить логику аутентификации и авторизации на отдельный сервис:" }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: "graph LR\n A[Пользователь] --> B[Веб-приложение]\n A --> C[Мобильное приложение]\n B --> D[API-сервис]\n C --> D\n B --> E[Сервис идентификации] \n C --> E\n D --> E \n\n subgraph Приложения\n B\n C\n end\n\n subgraph Сервисы\n D\n end\n\n subgraph Идентификация\n E\n end\n" }) }), "\n", _jsx(_components.p, { children: "Процесс рефакторинга может быть болезненным. Вы можете заметить, что его сложность будет увеличиваться экспоненциально по мере добавления большего количества приложений и сервисов в проект. Еще хуже, вам может понадобиться поддерживать несколько методов аутентификации, таких как вход без пароля, социальный логин, SAML и т. д." }), "\n", _jsx(_components.p, { children: "Вот почему было бы лучше ввести поставщика идентификации в начале, когда у вас есть план масштабирования вашего проекта." }), "\n", _jsx(Note, { children: _jsx(_components.p, { children: "Конечно, есть некоторые случаи, когда проект достаточно прост, и вы знаете, что он останется простым на некоторое время. Вы можете оставить эту статью и вернуться, когда это будет необходимо." }) }), "\n", _jsxs(_components.h2, { id: "интеграция-сервера-oidc", children: ["Интеграция сервера OIDC", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#интеграция-сервера-oidc", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.h3, { id: "найти-поставщика-oidc", children: ["Найти поставщика OIDC", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#найти-поставщика-oidc", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "На рынке доступно много поставщиков OIDC. Вы можете выбрать одного на основе ваших требований и предпочтений. Пока поставщик соответствует стандартам OIDC, он будет выполнять ту же роль в вашем проекте." }), "\n", _jsx(Info, { children: _jsxs(_components.p, { children: [_jsx(_components.a, { href: "https://logto.io", children: "Logto" }), " — это open-source поставщик OIDC с готовыми функциями управления идентификацией и доступом."] }) }), "\n", _jsxs(_components.h3, { id: "субъект-клиент-и-аудитория", children: ["Субъект, клиент и аудитория", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#субъект-клиент-и-аудитория", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.p, { children: ["Чтобы упростить концепцию, мы можем рассмотреть, что ", _jsx(_components.em, { children: "субъект" }), " — это сущность, которая запрашивает доступ к ", _jsx(_components.em, { children: "аудитории" }), " через ", _jsx(_components.em, { children: "клиента" }), "."] }), "\n", _jsx(Note, { title: "Я не вижу audience (aud) в токене", children: _jsx(_components.p, { children: "Когда audience отсутствует, это обычно означает, что аудитория является самим сервером OIDC." }) }), "\n", _jsx(_components.p, { children: "Рассмотрим некоторые типичные сценарии:" }), "\n", _jsxs(_components.h4, { id: "1-пользователь-нажимает-на-кнопку-входа-в-веб-приложении", children: ["1. Пользователь нажимает на кнопку входа в веб-приложении", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#1-пользователь-нажимает-на-кнопку-входа-в-веб-приложении", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "В традиционном и серверно-ориентированном веб-приложении фронтенд и бэкенд связаны. Предположим, веб-приложение обслуживает и фронтенд, и бэкенд:" }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Субъект" }), ": Пользователь"] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Аудитория" }), ": Сервер OIDC"] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Клиент" }), ": Веб-приложение"] }), "\n"] }), "\n", _jsxs(_components.p, { children: ["Может показаться нелогичным, что аудитория — это сервер OIDC. На самом деле, это ключ к обеспечению SSO (Single Sign-On) для конечных пользователей. Рассмотрим упрощенную последовательную диаграмму для ", _jsx(_components.a, { href: "https://blog.logto.io/implicit-flow-is-dead#how-authorization-code-flow-works", children: "authorization code flow" }), ":"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: "sequenceDiagram\n participant User as Пользователь
(субъект)\n participant App1 as Веб-приложение 1
(клиент)\n participant App2 as Веб-приложение 2
(клиент)\n participant OIDC as Сервер OIDC
(аудитория)\n\n User ->> App1: Нажать на вход\n App1 ->> OIDC: Перенаправление
(запрос на авторизацию)\n OIDC ->> User: Показать страницу входа\n User ->> OIDC: Вход\n OIDC ->> App1: Перенаправление с `code`\n App1 ->> OIDC: Обмен токенами с использованием `code`\n Note over User: Выпить чашку кофе\n User ->> App2: Нажать на вход\n App2 ->> OIDC: Перенаправление\n OIDC ->> OIDC: Найдена действующая сессия\n OIDC ->> App2: Перенаправление с `code`\n App2 ->> OIDC: Обмен токенами с использованием `code`\n" }) }), "\n", _jsxs(_components.p, { children: [_jsx(_components.code, { children: "code" }), " — это одноразовый код, который может быть обменян на различные токены, такие как access token, ID token, и refresh token. Это нормально, если вы не понимаете всех этих токенов на данный момент. По мере продвижения вперёд вы получите лучшее представление о них."] }), "\n", _jsx(_components.p, { children: "В приведенном выше случае пользователю не нужно входить снова, когда они переключаются на другое приложение, потому что пользователь (субъект) уже аутентифицирован с сервером OIDC (аудитория)." }), "\n", _jsxs(_components.h4, { id: "2-пользователь-использует-одностраничное-приложение", children: ["2. Пользователь использует одностраничное приложение", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#2-пользователь-использует-одностраничное-приложение", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "В одностраничном приложении (или мобильном приложении) фронтенд и бэкенд отделены друг от друга. Предположим, бэкенд является API-сервисом:" }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Субъект" }), ": Пользователь"] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Аудитория" }), ": API-сервис"] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Клиент" }), ": Одностраничное приложение (SPA)"] }), "\n"] }), "\n", _jsx(_components.p, { children: "Упрощенная последовательная диаграмма с authorization code flow:" }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: "sequenceDiagram\n participant User as Пользователь
(субъект)\n participant SPA as Одностраничное приложение
(клиент)\n participant API as API-сервис
(аудитория)\n participant OIDC as Сервер OIDC
(аудитория)\n\n User ->> SPA: Нажать на вход\n SPA ->> OIDC: Перенаправление
(запрос на авторизацию)\n OIDC ->> User: Показать страницу входа\n User ->> OIDC: Вход\n OIDC ->> SPA: Перенаправление с `code`\n SPA ->> OIDC: Обмен токенами с использованием `code`\n User ->> SPA: Попытка посмотреть защищённую страницу\n SPA ->> API: Запрос данных с access token\n API ->> OIDC: Проверка access token\n OIDC ->> API: ОК\n API ->> SPA: Ответные данные\n" }) }), "\n", _jsx(_components.p, { children: "Поскольку API-сервис является неинтерактивным, SPA необходимо использовать access token с API-сервисом в качестве аудитории (аудитория в токене)." }), "\n", _jsx(_components.p, { children: _jsx(_components.strong, { children: "Почему сервер OIDC все еще является аудиторией?" }) }), "\n", _jsx(_components.p, { children: "Технически вы можете удалить сервер OIDC из списка аудитории. Так как в большинстве случаев вам потребуется информация о пользователе с сервера OIDC (что требует сервер OIDC в качестве аудитории), лучше всегда включать сервер OIDC в список аудитории, когда это связано с взаимодействием с пользователем." }), "\n", _jsx(_components.p, { children: _jsx(_components.strong, { children: "Подождите, вы говорите, что мы можем иметь несколько аудиторий в запросе на авторизацию?" }) }), "\n", _jsxs(_components.p, { children: ["Именно так! Помните, что OIDC построен на основе OAuth 2.0, возможно использовать ", _jsx(_components.a, { href: "https://datatracker.ietf.org/doc/html/rfc8707", children: "RFC 8707: Индикаторы ресурса для OAuth 2.0" }), " в запросе на авторизацию для указания нескольких аудиторий. Это требует поддержки как со стороны гранта, так и сервера OIDC. ", _jsx(_components.a, { href: "https://logto.io", children: "Logto" }), " поддерживает эту функцию из коробки."] }), "\n", _jsxs(_components.h4, { id: "3-общение-машина-машина", children: ["3. Общение машина-машина", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#3-общение-машина-машина", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Предположим, у вас есть сервис A, которому нужно обратиться к сервису B:" }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Субъект" }), ": Сервис A"] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Аудитория" }), ": Сервис B"] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Клиент" }), ": Сервис A"] }), "\n"] }), "\n", _jsxs(_components.p, { children: ["Упрощенная последовательная диаграмма с ", _jsx(_components.a, { href: "https://datatracker.ietf.org/doc/html/rfc6749#section-1.3.4", children: "client credentials grant" }), ":"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: "sequenceDiagram\n participant ServiceA as Сервис A
(субъект и клиент)\n participant ServiceB as Сервис B
(аудитория)\n participant OIDC as Сервер OIDC\n\n ServiceA ->> OIDC: Запросить access token
с данными клиента (запрос токена)\n OIDC ->> ServiceA: Access token\n ServiceA ->> ServiceB: Запросить данные с access token\n ServiceB ->> OIDC: Проверка access token\n OIDC ->> ServiceB: ОК\n ServiceB ->> ServiceA: Ответные данные\n" }) }), "\n", _jsx(_components.p, { children: "Когда сервис B нужно обратиться к сервису A, роли просто меняются местами." }), "\n", _jsxs(_components.h4, { id: "резюме", children: ["Резюме", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#резюме", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Субъект" }), ": Это может быть пользователь, сервис или любая сущность, которой необходимо доступ к аудитории."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Клиент" }), ": Это может быть веб-приложение, мобильное приложение или любая сущность, инициирующая запрос или действующая от имени субъекта."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Аудитория" }), ": Это может быть сервис, API или любая сущность, предоставляющая доступ субъекту."] }), "\n"] }), "\n", _jsxs(_components.h3, { id: "токены", children: ["Токены", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#токены", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Существует три типа токенов, которые вы можете встретить, работая с OIDC:" }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Access token" }), ": Используется для доступа к аудитории. Это может быть JWT (JSON Web Token) или непрозрачный токен (обычно случайная строка)."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "ID token" }), ": Токен, специфичный для OIDC, содержащий информацию о пользователе. Это всегда JWT. Клиент может декодировать токен, чтобы получить информацию о пользователе."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Refresh token" }), ": Используется для получения нового набора токенов, когда access token или ID token истекает."] }), "\n"] }), "\n", _jsxs(_components.p, { children: ["Для детального объяснения этих токенов вы можете обратиться к ", _jsx(_components.a, { href: "https://blog.logto.io/understanding-tokens-in-oidc", children: "Understanding refresh tokens, access tokens, and ID tokens in OIDC protocol" }), "."] }), "\n", _jsxs(_components.p, { children: ["В выше описанных сценариях 1 и 2 термин ", _jsx(_components.em, { children: "запрос на авторизацию" }), " означает запрос на получение набора токенов через конкретный ", _jsx(_components.em, { children: "грант" }), "."] }), "\n", _jsx(Note, { children: _jsxs(_components.p, { children: ["Хотя RFC OAuth 2.0 использует термин ", _jsx(_components.em, { children: "грант" }), ", на практике люди часто используют термин ", _jsx(_components.em, { children: "флоу" }), " для описания более общего, сквозного процесса."] }) }), "\n", _jsxs(_components.p, { children: ["Когда все идет гладко, набор токенов будет возвращен на этапе \"Обмен токенами с использованием ", _jsx(_components.code, { children: "code" }), "\". Доступные токены в наборе зависят от множества факторов, особенно параметра ", _jsx(_components.code, { children: "scope" }), " в запросе на авторизацию. Для простоты, мы будем считать, что все токены возвращаются в наборе. После истечения срока действия access token, клиент может использовать refresh token для получения нового набора токенов без вмешательства пользователя."] }), "\n", _jsx(_components.p, { children: "Для сценария 3 это проще, поскольку грант с данными клиента возвращает только access token." }), "\n", _jsxs(_components.h3, { id: "несколько-аудиторий", children: ["Несколько аудиторий", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#несколько-аудиторий", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Вы могли заметить, что только один access token возвращается за раз. Как мы можем обработать случай, когда клиенту нужно доступ к нескольким аудиториям?" }), "\n", _jsx(_components.p, { children: "Существуют два распространенных решения:" }), "\n", _jsxs(_components.h4, { id: "указать-resource-в-запросе-обмена-кодом", children: ["Указать ", _jsx(_components.code, { children: "resource" }), " в запросе обмена кодом", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#указать-resource-в-запросе-обмена-кодом", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.p, { children: ["Когда клиент обменивает код на токены, он может указать параметр ", _jsx(_components.code, { children: "resource" }), " в запросе. Сервер OIDC вернет access token для указанной аудитории, если это применимо."] }), "\n", _jsx(_components.p, { children: "Вот пример, не являющийся нормативным:" }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-http", children: "POST /token HTTP/1.1\nHost: oidc-server.example.com\nContent-Type: application/x-www-form-urlencoded\n\ngrant_type=authorization_code\n&code=AUTHORIZATION_CODE\n&client_id=CLIENT_ID\n&client_secret=CLIENT_SECRET\n&resource=API_SERVICE\n" }) }), "\n", _jsxs(_components.p, { children: ["Тогда сервер OIDC вернет access token для аудитории ", _jsx(_components.code, { children: "API_SERVICE" }), ", если это применимо."] }), "\n", _jsxs(_components.h4, { id: "использовать-refresh-token-для-получения-нового-access-token", children: ["Использовать refresh token для получения нового access token", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#использовать-refresh-token-для-получения-нового-access-token", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.p, { children: ["С RFC 8707 клиент даже может указать несколько аудиторий, используя параметр ", _jsx(_components.code, { children: "resource" }), " несколько раз. Теперь, если refresh token доступен в клиенте, клиент может указать аудиторию в параметре ", _jsx(_components.code, { children: "resource" }), " при обновлении токена."] }), "\n", _jsx(_components.p, { children: "Вот пример, не являющийся нормативным:" }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-http", children: "POST /token HTTP/1.1\nHost: oidc-server.example.com\nContent-Type: application/x-www-form-urlencoded\n\ngrant_type=refresh_token\n&refresh_token=REFRESH_TOKEN\n&client_id=CLIENT_ID\n&client_secret=CLIENT_SECRET\n&resource=API_SERVICE\n" }) }), "\n", _jsx(_components.p, { children: "Это имеет тот же эффект, что и предыдущее решение. Между тем, другие предоставленные аудитории остаются доступными в будущих запросах токена." }), "\n", _jsxs(_components.h4, { id: "грант-с-данными-клиента", children: ["Грант с данными клиента", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#грант-с-данными-клиента", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.p, { children: ["Вы также можете использовать параметр ", _jsx(_components.code, { children: "resource" }), " в гранте с данными клиента для указания аудитории. В этом гранте нет проблем с несколькими аудиториями, потому что вы всегда можете запросить новый access token для другой аудитории, просто отправив другой запрос токена."] }), "\n", _jsxs(_components.h3, { id: "защита-вашего-api-сервиса", children: ["Защита вашего API-сервиса", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#защита-вашего-api-сервиса", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "\"API-сервис\" в сценарии 2 и \"Сервис B\" в сценарии 3 имеют одну общую черту: им необходимо проверить access token, чтобы определить, авторизован ли запрос. В зависимости от формата access token процесс валидации может варьироваться." }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Непрозрачный токен" }), ": API-сервис должен обратиться к серверу OIDC для проверки токена. Обычно сервер OIDC предоставляет ", _jsx(_components.a, { href: "https://blog.logto.io/oauth2-token-introspection", children: "точку окончания introspection" }), " для этой цели."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "JWT" }), ": API-сервис может проверить токен локально, проверив подпись и утверждения в токене. Сервер OIDC обычно предоставляет ", _jsx(_components.a, { href: "https://openid.net/specs/openid-connect-discovery-1_0.html#ProviderMetadata", children: "JSON Web Key Set (JWKS) endpoint" }), " (", _jsx(_components.code, { children: "jwks_uri" }), ") для получения публичного ключа для проверки подписи."] }), "\n"] }), "\n", _jsxs(_components.p, { children: ["Если вы не знакомы с JWT, вы можете обратиться к ", _jsx(_components.a, { href: "https://blog.logto.io/what-is-jwt", children: "Что такое JSON Web Token (JWT)?" }), ". На самом деле, обычно нет необходимости вручную проверять подпись и утверждать утверждения, так как существуют многие библиотеки, которые могут это сделать, такие как ", _jsx(_components.a, { href: "https://github.com/panva/jose", children: "jose" }), " для Node.js и веб-браузеров."] }), "\n", _jsxs(_components.h4, { id: "утверждать-утверждения", children: ["Утверждать утверждения", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#утверждать-утверждения", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "В дополнение к проверке подписи JWT, API-сервис всегда должен проверять утверждения в токене:" }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.code, { children: "iss" }), ": Издатель токена. Он должен соответствовать URL издателя сервера OIDC."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.code, { children: "aud" }), ": Аудитория токена. Он должен совпадать со значением аудитории в API-сервисе (обычно действительный URI)."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.code, { children: "exp" }), ": Время истечения срока действия токена. API-сервис должен отклонять токен, если его срок действия истек."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.code, { children: "scope" }), ": Области (разрешения) токена. API-сервис должен проверить, присутствует ли необходима область в токене."] }), "\n"] }), "\n", _jsxs(_components.p, { children: ["Другие утверждения, такие как ", _jsx(_components.code, { children: "sub" }), " (субъект) и ", _jsx(_components.code, { children: "iat" }), " (время выпуска), также важны в некоторых случаях. Если у вас есть дополнительные меры безопасности, проверьте утверждения соответственно."] }), "\n", _jsxs(_components.h2, { id: "авторизация", children: ["Авторизация", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#авторизация", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.p, { children: ["Остается нерешенный вопрос: как мы определяем, может ли ", _jsx(_components.em, { children: "scope" }), " (т.е. разрешение) быть предоставлен субъекту?"] }), "\n", _jsx(_components.p, { children: "Единый вопрос ведет к целому новому миру авторизации, который выходит за рамки этой статьи. Вкратце, существуют некоторые общие подходы, такие как RBAC (управление доступом на основе ролей) и ABAC (управление доступом на основе атрибутов). Вот некоторые ресурсы, которые помогут вам начать:" }), "\n", _jsxs(_components.ul, { children: ["\n", _jsx(_components.li, { children: _jsx(_components.a, { href: "https://blog.logto.io/rbac-and-abac", children: "RBAC и ABAC: Модели управления доступом, которые вы должны знать" }) }), "\n", _jsx(_components.li, { children: _jsx(_components.a, { href: "https://blog.logto.io/mastering-rbac", children: "Освоение RBAC в Logto: Комплексный реальный пример" }) }), "\n"] }), "\n", _jsxs(_components.h2, { id: "заключительные-замечания", children: ["Заключительные замечания", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#заключительные-замечания", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Введение сервера OIDC в ваш проект — это большой шаг. Это может значительно улучшить безопасность и масштабируемость вашего проекта. В то же время, может потребоваться некоторое время, чтобы понять концепции и взаимодействие между компонентами." }), "\n", _jsx(_components.p, { children: "Выбор хорошего поставщика OIDC, который соответствует вашим требованиям и предпочтениям, может значительно уменьшить сложность процесса интеграции, так как поставщик обычно предлагает весь пакет, включая сервер OIDC, механизмы авторизации, SDK и корпоративные функции, которые могут понадобиться в будущем." }), "\n", _jsxs(_components.p, { children: ["Надеюсь, это руководство поможет вам понять основы интеграции сервера OIDC. Если вы ищете, с чего начать, я не без корысти рекомендую ", _jsx(_components.a, { href: "https://logto.io", children: "Logto" }), ", нашу инфраструктуру идентификации для разработчиков."] }), "\n", _jsx(LogtoCloudButton, {})] }); } function MDXContent(props = {}) { const {wrapper: MDXLayout} = { ..._provideComponents(), ...props.components }; return MDXLayout ? _jsx(MDXLayout, { ...props, children: _jsx(_createMdxContent, { ...props }) }) : _createMdxContent(props); } return { headings, readingTime, frontmatter, default: MDXContent }; function _missingMdxReference(id, component) { throw new Error("Expected " + (component ? "component" : "object") + " `" + id + "` to be defined: you likely forgot to import, pass, or provide it."); }