数字身份认证技术与实践

本书内容涵盖身份认证 的基础理论，包括身份认证 与授权的区别、常见的认证 方式以及关键技术和协议， 如SAML、OAuth 2.0、 OIDC等。除基础概念外， 本书还展示如何在不同的环 境中安全地接入和实现身份 认证，包括纯前端应用、 BFF和后端领域服务。同时 ，本书详细讨论如何在现有 应用中集成其他身份认证系 统，以及如何实现社交账号 登录等功能。对于追求深入 理解的读者，本书还准备了 一些高级主题，包括在微信 小程序中集成认证平台、 GraphQL中的身份认证、单 点登录、统一登出、多因素 认证以及OIDC的高级许可 模式等内容。本书不仅提供 概念性的解释，还借助丰富 的代码案例，使用多种编程 语言（.Net、Java、 Node.js）来展示身份认证 技术的应用，让读者在实践 中加深理解。 本书是为数字化时代的 软件工程师、系统架构师、 信息安全专家以及对身份认 证感兴趣的读者量身定制的 图书。本书不仅可以帮助读 者建立起身份认证的知识体 系，更重要的是教会读者如 何在实际工作中灵活应用这 些知识。如果您希望在数字 身份认证领域深入发展，或 者希望提升应用安全性，那 么本书将是您理想的选择。

田杰 复旦大学软件工程硕士，研究方向为企业信息化。曾经在 DHL、英孚教育任职，目前供职于乐高集团中国数字技术部，担任资深软件工程师。对身份认证领域有着非常丰富的上手经验，在知乎等平台受到较多关注，并通过付费咨询方式帮助众多企业解决了他们面临的身份认证相关问题。

第1部分 身份认证的基础概念 第1章 什么是身份认证 1.1 身份认证简介以及和授权的联系与区别 1.1.1 身份认证简介 1.1.2 身份认证与授权的联系与区别 1.2 认证目标对象有哪些 1.2.1 机器认证 1.2.2 人类认证 1.3 认证场景有哪些 1.3.1 2A，面向API的身份认证 1.3.2 2B，面向企业合作伙伴的身份认证 1.3.3 2C，面向客户的身份认证 1.3.4 2D，面向开发者的身份认证 1.3.5 2E，面向内部员工的身份认证 1.4 常用术语有哪些 1.4.1 令牌与会话如何选择 1.4.2 什么是SAML、OAuth 2.0和OIDC 1.4.3 许可类型 1.4.4 访问令牌和身份令牌的区别 1.4.5 刷新令牌是什么 1.4.6 什么是单点登录 1.5 小结 第2章 认证机制与相关算法 2.1 认证的基本原理，怎么证明你是谁 2.1.1 认证的基本原理 2.1.2 常见的身份验证方法 2.2 计算机安全学基础 2.2.1 机密性、完整性和可用性 2.2.2 安全机制：哈希与加密 2.2.3 非对称加密在身份认证过程中的应用 2.3 常用的算法 2.3.1 SHA（重点：SHA256） 2.3.2 自适应单向函数 2.3.3 RSA 2.3.4 常用的签名算法 2.4 JWT结构化令牌详解 2.4.1 头部 2.4.2 载荷 2.4.3 签名 2.4.4 动手实验 2.5 小结 第3章 认证解决方案 3.1 云解决方案 3.1.1 IaaS、PaaS、SaaS与IDaaS 3.1.2 多租户的概念及其实例 3.1.3 IDaaS实例 3.2 开源解决方案 3.2.1 基于Java的Keycloak及其关键组件 3.2.2 CAS 3.2.3 基于.NET Core的Duende IdentityServer 3.2.4 基于Node.js的OIDC Server 3.3 小结 第2部分 身份认证的实战应用 第4章 纯前端应用如何接入身份认证 4.1 实例讲解 4.1.1 准备工作 4.1.2 实例演示 4.2 安全性分析及应对策略 4.2.1 公开客户端 4.2.2 关闭隐式许可流程 4.2.3 开启PKCE 4.3 小结 第5章 前端代理服务器如何接入身份认证 5.1 BFF架构的演进回顾 5.1.1 单体应用架构 5.1.2 前后端分离架构 5.1.3 BFF架构 5.1.4 BFF架构的发展 5.2 BFF中的身份认证实现方式 5.3 BFF中的身份认证流程 5.4 示例代码 5.5 实例讲解 5.5.1 在Naive BFF中接入认证平台 5.5.2 在TMI BFF中接入认证平台 5.5.3 在Full BFF中接入认证平台 5.6 小结 第6章 后端领域服务如何接入身份认证 6.1 领域服务和BFF有什么区别 6.2 实例讲解 6.2.1 在Java Spring Boot应用中接入认证 6.2.2 通过Bean方式扩展Spring应用 6.2.3 不使用spring-boot-starter-oauth2-resource-server 6.3 小结 第7章 成熟的产品如何接入身份认证 7.1 在自托管GitLab实例中集成Keycloak登录 7.1.1 步骤详解 7.1.2 测试登录 7.1.3 总结 7.2 Keycloak互相集成 7.2.1 在线演示 7.2.2 单点登录 7.2.3 集成步骤 7.3 用OIDC方式在Keycloak中集成阿里云登录方式 7.3.1 最终效果体验 7.3.2 在阿里云RAM访问控制台的OAuth应用中创建应用 7.3.3 在Keycloak中添加Identity Provider 7.3.4 在阿里云控制台回填回调地址 7.3.5 在阿里云身份管理工作台创建用户 7.3.6 在Keycloak中给Identity Provider增加Mappers 7.3.7 在Keycloak中给Client scopes增加Mappers 7.3.8 定制用户完善资料页面 7.3.9 邮箱验证 7.4 小结 第8章 社交登录实战 8.1 在Keycloak中集成GitHub登录 8.1.1 注册应用 8.1.2 添加GitHub提供者 8.1.3 验证 8.2 在IdentityServer中添加GitHub登录 8.2.1 线上体验 8.2.2 准备工作 8.2.3 核心代码 8.3 在Duende IdentityServer中集成Epic Games登录 8.3.1 效果演示 8.3.2 配置 8.3.3 将域名添加到组织中 8.3.4 概念 8.3.5 创建产品 8.3.6 创建客户端 8.3.7 记下客户端凭据 8.3.8 添加回调地址 8.3.9 创建应用 8.3.10 关联客户端 8.3.11 填写法律必需的URL 8.3.12 Epic Games的OIDC端点 8.3.13 授权 8.3.14 获取令牌 8.3.15 典型的响应 8.3.16 代码实现 8.3.17 完成 8.4 三步开发社交账号登录 8.4.1 不要自行实现 8.4.2 自行实现的一般