synapsestudios/oidc-platform Docker 镜像 - 轩辕镜像

OpenID Connect身份认证平台

概述

synapse OpenID Connect平台是一个基于node-oidc-provider的身份认证解决方案，用于为客户端应用提供用户认证服务。node-oidc-provider是一个OpenID Connect协议的提供者库，要充分理解该应用的功能和使用方式，需先了解OpenID Connect协议。

核心功能和特性

• 基于node-oidc-provider库实现OpenID Connect协议，提供标准的身份认证流程
• 支持动态客户端注册，允许客户端应用通过API接口注册
• 提供会话管理功能，支持会话持久化和登出重定向
• 兼容多种关系型数据库（RDBMS），如MySQL、PostgreSQL等
• 提供完善的使用文档，包括安装、实现、主题定制和Webhooks等内容

使用场景和适用范围

适用于需要集成OpenID Connect身份认证机制的各类客户端应用，包括Web应用、移动应用等。尤其适合需要统一身份认证服务的企业或开发者，可用于构建单点登录（SSO）系统，实现多应用间的用户身份共享和认证。

使用方法和配置说明

使用文档

• 安装
• 实现
• 主题定制
• Webhooks

开发环境搭建

步骤1：配置环境变量

复制common.template.env为common.env，并提供mailgun、SES或sendgrid的密钥（用于邮件服务）。

步骤2：设置数据库变量

根据使用的关系型数据库（RDBMS），配置OIDC_DB_*相关环境变量。

步骤3：启动服务

根据使用的数据库类型运行对应的Docker Compose命令：

• 使用MySQL：./compose-mysql up
• 使用PostgreSQL：./compose-postgres up（或直接运行docker-compose up，默认使用PostgreSQL）

步骤4：创建OAuth客户端

通过POST请求到http://localhost:9001/op/reg创建OAuth客户端，请求信息如下：

请求头：

json
{
    "Content-Type": "application/json",
    "Authorization": "Bearer token1"  // token1为common.env中OIDC_INITIAL_ACCESS_TOKEN的值
}

请求体：

json
{
    "response_types": ["code id_token token"],
    "grant_types": [
        "authorization_code",
        "implicit",
        "client_credentials"
    ],
    "redirect_uris": ["[***]"],
    "post_logout_redirect_uris": ["[***]"]
}

步骤5：配置测试客户端

在test-client/src目录下，复制config.template.js为config.js，并填写上一步创建的客户端的client_id和client_secret。

步骤6：配置本地 hosts

将sso-client.test添加到本地hosts文件，指向127.0.0.1：

127.0.0.1 sso-client.test

步骤7：启动测试客户端

在test-client和test-client/test-server目录下分别执行：

bash
npm i
npm start

会话管理

• 会话默认持久化存储。
• 用户可通过访问${prefix}/session/end手动登出，需附带以下查询参数：
  • id_token_hint：用于客户端确定当前登出的用户身份
  • post_logout_redirect_uri：用户登出后重定向的客户端应用地址

客户端注册

• 客户端可通过注册端点（默认${prefix}/reg）动态注册。
• 注册时需提供OpenID客户端元数据，如response_types、grant_types、redirect_uris等。
• 请求需包含Authorization头，格式为Bearer <token>，其中token值为common.env中的OIDC_INITIAL_ACCESS_TOKEN。
• 生产环境注意事项：必须使用强令牌（OIDC_INITIAL_ACCESS_TOKEN），防止未授权客户端被添加。