spring-security - Spring Security 和 Google OpenID Connect 迁移

Question

问题：

1) 将 OpenID Connect 身份验证集成到使用 Spring Security 进行身份验证的 web 应用程序中的最佳方法是什么？

2) 有什么方法——无论是从MITREid方面还是从 Google 帐户方面——让 MITREid OpenID Connect 身份验证过滤器与 Google 的 OpenID Connect 服务一起工作？

我确信这些问题的答案对于任何使用 Spring Security OpenID 模块向 Google 进行身份验证的开发人员都会很有用。

细节：

我的 webapp 使用 Spring Security 的 OpenID 模块 ( <openid-login .../>) 以 Google 帐户作为身份提供者进行身份验证。即，用户使用他们的 Google Apps 或 GMail 电子邮件地址进行身份验证。

最近，每当用户进行身份验证时，他们都会从 Google 帐户收到以下警告消息：

重要通知：Google 帐户的 OpenID2 将于 2015 年 4 月 20 日停用。

因此，Google 将放弃对 OpenID 的支持，并将在 2015 年 4 月将其完全关闭，并声明如果您想使用 Google 帐户进行身份验证，则必须切换到 OpenID Connect 协议。

我希望 Spring Security 能够内置对 OpenID Connect 的支持，就像它内置对 OpenID 的支持一样。例如<openid-connect-login .../>元素之类的东西。但我的搜索没有出现这样的支持。

到目前为止，我发现的最好的候选人是 MITREid Connect 。它包括一个名为OIDCAuthenticationFilterOpenID Connect 的 Spring Security 身份验证过滤器。问题是，它不能与 Google 的 OpenID Connect 实现互操作。

我尝试克隆 MITREid simple-web-app 并将其配置为使用 Google 帐户进行身份验证（使用 OpenID Connect）。但它不起作用，因为它依赖于Google 的 OpenID Connect 实现不支持的随机数。来自 Google 帐户的错误消息是：

此消息类型不允许使用参数：nonce

接下来我尝试将我自己的 MITREidAuthRequestUrlBuilder接口实现插入到 MITREid 配置中。我的实现和 MITREid 的实现之间的唯一区别是我没有发送随机数。

不发送 nonce 让 Google 的 OpenID Connect 实现很开心，但 MITREid 在 Google 身份验证响应中找不到 nonce 时抛出了异常。错误消息是：

身份验证失败：ID 令牌不包含 nonce 声明

我将 MITREid 异常跟踪到 MITREID'S 中的这些行OIDCAuthenticationFilter：

// compare the nonce to our stored claim
String nonce = idClaims.getStringClaim("nonce");
if (Strings.isNullOrEmpty(nonce)) {

    logger.error("ID token did not contain a nonce claim.");

    throw new AuthenticationServiceException("ID token did not contain a nonce claim.");
}

但是我没有办法扩展 MITREid 的实现来忽略随机数。如此接近，却又如此遥远！如果 Google 帐户接受 nonce 或 MITREid 可以配置为忽略 nonce，那么我们就有了解决方案。

在 github 上的 MITREid Connect 问题列表中，我发现其他人也遇到了这些类似的问题：

1) #726 - 关于将客户端与 Google 一起用作身份验证提供程序的文档

2) #704 - 在 ServerConfiguration 中添加一个 useNonce 属性，以指示 IdP 是否在其请求中接受 nonce 值。

所以我被困住了。到 2015 年 4 月，Google 将关闭 Open ID 身份验证。

一些相关链接：

1)https://support.google.com/accounts/answer/6135882

2)https://www.tbray.org/ongoing/When/201x/2014/03/01/OpenID-Connect

3)https://github.com/mitreid-connect

4) https://github.com/mitreid-connect/OpenID-Connect-Java-Spring-Server/blob/master/openid-connect-client/src/main/java/org/mitre/openid/connect/client/OIDCAuthenticationFilter.java

5)https://github.com/mitreid-connect/simple-web-app

6)https://github.com/mitreid-connect/OpenID-Connect-Java-Spring-Server/blob/master/openid-connect-client/src/main/java/org/mitre/openid/connect/client/service/impl/PlainAuthRequestUrlBuilder.java

7)https://github.com/mitreid-connect/OpenID-Connect-Java-Spring-Server/issues/726

8)https://github.com/mitreid-connect/OpenID-Connect-Java-Spring-Server/pull/704

---

2015-02-18 更新

最近在 mitreid-connect 的开发分支中添加了用于禁用 nonce 的功能 - 因此使 Google 的 OIDC 服务器很高兴。值得庆幸的是，mitreid-connect 还提供了一些与 Google 互操作的指导。不幸的是，“nonceEnabled”更改在 Maven 中心尚不可用，但希望很快就会改变。

Answer 1

AFAIK，没有从 OpenID 到 OpenID Connect 身份验证的干净简单的 Spring Security 迁移。使用 Spring Security 实现 OpenID 身份验证是直接使用有据可查的<openid-login/>，但 OpenID Connect 没有类似物。

MITREid替代方案仍在开发分支上，在 Maven 中心不可用，因此不是候选方案。

在评论中，Chuck Mah 指出了如何实现 Openid 连接和 Spring Security，其中 Romain F. 提供了示例代码。

Romain 的示例代码为我指明了正确的方向。鉴于时间不多了，我采用了 romain 的方法，即编写一个自定义 Spring Security AuthenticationFilter ，它使用 spring-security-oauth2 来查询 oauth2 api userinfo 端点（对于谷歌来说是https://www.googleapis.com/oauth2 /v2/用户信息）。假设是，如果我们能够成功查询 userinfo 端点，那么用户已经成功通过身份验证，因此我们可以信任返回的信息 - 例如用户的电子邮件地址。

当我第一次开始学习 OpenID 连接时，“<a href="https://www.tbray.org/ongoing/When/201x/2013/04/04/ID-Tokens" rel="nofollow noreferrer">id 令牌”似乎是中心概念。但是，浏览 spring-security-oauth2 源代码，它似乎被忽略了。这就引出了一个问题，如果我们可以在没有它的情况下进行身份验证（通过简单地查询 oauth2 userinfo 端点），那么 ID 令牌的意义何在？

一个极简主义的解决方案——我更喜欢——会简单地返回一个经过验证的 ID 令牌。无需查询 userinfo 端点。但是没有这样的解决方案以 Spring Security 身份验证过滤器的形式存在。

我的 webapp 不是 romain 的 spring-boot 应用程序。spring-boot 在幕后做了很多配置。以下是我在此过程中遇到的一些问题/解决方案：

1. 问题：HTTP 状态 403 - 未找到预期的 CSRF 令牌。你的会话过期了吗？

   • 解决方案：java配置：httpSecurity.csrf().disable()

2. 问题：HTTP 状态 500 - 创建名称为“scopedTarget.googleOAuth2RestTemplate”的 bean 时出错：范围“会话”对于当前线程无效；

   • 解决方案：java config：OAuth2RestTemplate 不需要是会话范围（OAuth2ClientContext 已经是会话范围，这就是所有必要的）

3. 问题：HTTP 状态 500 - 创建名称为“scopedTarget.oauth2ClientContext”的 bean 时出错：范围“会话”对于当前线程无效；

   • 解决方案：web.xml：添加RequestContextListener
   • 解释：因为 oauth2ClientContext 会话范围的 bean 是在 Spring MVC DispatcherServlet 范围之外访问的（它是从 OpenIdConnectAuthenticationFilter 访问的，它是 Spring Security 过滤器链的一部分）。

   <听众>
       <listener-class>org.springframework.web.context.request.RequestContextListener</listener-class>
   </listener>
   

4. 问题：org.springframework.security.oauth2.client.resource.UserRedirectRequiredException：需要重定向才能获得用户的批准。

   • 解决方案：web.xml：在 springSecurityFilterChain 之前立即添加过滤器定义

   <过滤器>
       <filter-name>oauth2ClientContextFilter</filter-name>
       <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
   </过滤器>
   <过滤器映射>
       <filter-name>oauth2ClientContextFilter</filter-name>
       <url-pattern>/*</url-pattern>
   </filter-mapping>
   

不幸的是，OpenID Connect 不允许我们只请求email范围。当我们的用户使用 OpenID 进行身份验证时，他们会看到一个同意屏幕，例如“webapp 希望查看您的电子邮件地址”，他们对此感到满意。现在我们必须请求openid email导致同意屏幕的范围，要求用户与我们分享他们的整个公共个人资料......我们真的不需要或不想要......并且用户对这个同意屏幕不太满意。