05291227
This commit is contained in:
longdayi
parent
bece0afb3d
commit
6aa7af73f6
|
|
@ -1,133 +0,0 @@
|
||||||
# OIDC 架构更新总结
|
|
||||||
|
|
||||||
## 🎯 更新目标
|
|
||||||
|
|
||||||
将项目从混合认证架构改为标准的 OIDC 架构,确保所有用户认证都在 OIDC Provider 中处理。
|
|
||||||
|
|
||||||
## 🔄 主要改动
|
|
||||||
|
|
||||||
### 1. 删除客户端登录页面
|
|
||||||
- ❌ 删除了 `apps/web/app/auth/login/page.tsx`
|
|
||||||
- ❌ 删除了客户端应用中的自定义认证逻辑
|
|
||||||
|
|
||||||
### 2. 修复回调页面
|
|
||||||
- ✅ 更新 `apps/web/app/auth/callback/page.tsx` 中的错误链接
|
|
||||||
- ✅ 移除对已删除登录页面的引用
|
|
||||||
|
|
||||||
### 3. 添加测试页面
|
|
||||||
- ✅ 创建 `apps/web/app/test-oidc/page.tsx` 用于测试OIDC流程
|
|
||||||
- ✅ 在首页添加测试页面链接
|
|
||||||
|
|
||||||
### 4. 更新文档
|
|
||||||
- ✅ 更新 `apps/backend/README.md` 以反映正确的架构
|
|
||||||
|
|
||||||
## 🏗️ 当前架构
|
|
||||||
|
|
||||||
### 正确的 OIDC 流程
|
|
||||||
```
|
|
||||||
用户点击登录
|
|
||||||
↓
|
|
||||||
客户端重定向到 OIDC Provider 授权端点
|
|
||||||
↓
|
|
||||||
OIDC Provider 显示内置登录页面
|
|
||||||
↓
|
|
||||||
用户在 Provider 页面上登录
|
|
||||||
↓
|
|
||||||
Provider 生成授权码并重定向回客户端
|
|
||||||
↓
|
|
||||||
客户端用授权码换取令牌
|
|
||||||
↓
|
|
||||||
认证完成
|
|
||||||
```
|
|
||||||
|
|
||||||
### 架构优势
|
|
||||||
|
|
||||||
#### ✅ 已实现的正确做法
|
|
||||||
- OIDC Provider 包含登录页面
|
|
||||||
- 标准授权码流程
|
|
||||||
- PKCE 支持
|
|
||||||
- 内置会话管理
|
|
||||||
- 自动令牌刷新
|
|
||||||
|
|
||||||
#### ❌ 已移除的错误做法
|
|
||||||
- 客户端应用的登录页面
|
|
||||||
- 自定义认证逻辑
|
|
||||||
- 重复的用户管理
|
|
||||||
- 混合认证流程
|
|
||||||
|
|
||||||
## 🧪 测试方法
|
|
||||||
|
|
||||||
### 1. 访问测试页面
|
|
||||||
访问 `http://localhost:3001/test-oidc` 进行完整的流程测试
|
|
||||||
|
|
||||||
### 2. 测试 Discovery 端点
|
|
||||||
在测试页面点击"测试 Discovery 端点"按钮
|
|
||||||
|
|
||||||
### 3. 完整认证流程测试
|
|
||||||
1. 在测试页面点击"开始 OIDC 认证流程"
|
|
||||||
2. 将跳转到 OIDC Provider 的内置登录页面
|
|
||||||
3. 使用演示账号登录:`demouser` / `demo123`
|
|
||||||
4. 登录成功后会重定向回客户端应用
|
|
||||||
|
|
||||||
## 🔧 技术细节
|
|
||||||
|
|
||||||
### OIDC Provider 配置
|
|
||||||
```typescript
|
|
||||||
export const oidcApp = createOIDCProvider({
|
|
||||||
config: oidcConfig,
|
|
||||||
useBuiltInAuth: true,
|
|
||||||
builtInAuthConfig: {
|
|
||||||
passwordValidator: validatePassword,
|
|
||||||
sessionTTL: 24 * 60 * 60, // 24小时
|
|
||||||
loginPageTitle: 'OIDC Demo 登录',
|
|
||||||
brandName: 'OIDC Demo Provider',
|
|
||||||
},
|
|
||||||
});
|
|
||||||
```
|
|
||||||
|
|
||||||
### 客户端配置
|
|
||||||
```typescript
|
|
||||||
export const oidcConfig = {
|
|
||||||
authority: 'http://localhost:3000/oidc',
|
|
||||||
client_id: 'demo-client',
|
|
||||||
redirect_uri: 'http://localhost:3001/auth/callback',
|
|
||||||
response_type: 'code',
|
|
||||||
scope: 'openid profile email',
|
|
||||||
// ... 其他标准OIDC配置
|
|
||||||
};
|
|
||||||
```
|
|
||||||
|
|
||||||
## 📋 验证清单
|
|
||||||
|
|
||||||
- [x] 删除客户端登录页面
|
|
||||||
- [x] 修复回调页面引用
|
|
||||||
- [x] OIDC Provider 内置认证正常工作
|
|
||||||
- [x] 标准 OIDC 流程可以完整运行
|
|
||||||
- [x] Discovery 端点返回正确配置
|
|
||||||
- [x] 文档已更新
|
|
||||||
- [x] 测试页面可用
|
|
||||||
|
|
||||||
## 🚀 启动说明
|
|
||||||
|
|
||||||
1. 启动后端 OIDC Provider:
|
|
||||||
```bash
|
|
||||||
cd apps/backend
|
|
||||||
bun run dev
|
|
||||||
```
|
|
||||||
|
|
||||||
2. 启动前端客户端:
|
|
||||||
```bash
|
|
||||||
cd apps/web
|
|
||||||
npm run dev
|
|
||||||
```
|
|
||||||
|
|
||||||
3. 访问测试页面:
|
|
||||||
http://localhost:3001/test-oidc
|
|
||||||
|
|
||||||
## 🎉 总结
|
|
||||||
|
|
||||||
现在项目已经完全符合标准的 OIDC 架构:
|
|
||||||
- **分离关注点**: OIDC Provider 专注于认证,客户端专注于业务逻辑
|
|
||||||
- **标准合规**: 完全符合 OpenID Connect 规范
|
|
||||||
- **简化维护**: 认证逻辑集中在 Provider 中
|
|
||||||
- **更好的安全性**: 用户凭据只在 Provider 中处理
|
|
||||||
Loading…
Reference in New Issue