红帽全球峰会2.4. 在 OpenID Connect、SmallRye JWT 和 OAuth2 身份验证机制之间进行选择
使用以下信息来选择适当的令牌身份验证机制来保护 Quarkus 应用程序。
身份验证机制用例列表
-
Quarkus-oidc需要 OpenID Connect 供应商,如 Keycloak,它可以验证 bearer 令牌或使用授权代码流验证最终用户。在这两种情况下,quarkus-oidc需要连接到指定的 OpenID Connect 供应商。 -
如果用户身份验证需要授权代码流,或者您需要支持多个租户,请使用
quarkus-oidc。Quarkus-oidc也可以使用授权代码流和 Bearer 访问令牌来请求用户信息。 -
如果需要验证 bearer 令牌,请使用
quarkus-oidc或quarkus-smallrye-jwt。 -
如果您的 bearer 令牌采用 JSON Web 令牌(JWT)格式,您可以使用前面的列表中的任何扩展。
quarkus-oidc和quarkus-smallrye-jwt支持在 OpenID Connect 提供程序轮转密钥时刷新JsonWebKey(JWK)设置。因此,如果必须避免远程令牌内省,或者供应商不支持,请使用quarkus-oidc或quarkus-smallrye-jwt来验证 JWT 令牌。 -
要远程内省 JWT 令牌,您可以使用
quarkus-oidc通过远程内省验证不透明或二进制令牌。quarkus-smallrye-jwt不支持对不透明或 JWT 令牌的远程内省,而是依赖于通常从 OpenID Connect 供应商检索的本地可用密钥。 -
Quarkus-oidc和quarkus-smallrye-jwt支持 JWT 和不透明令牌注入端点代码中。注入的 JWT 令牌提供有关用户的更多信息。所有扩展都可以将令牌作为主体注入。 -
quarkus-smallrye-jwt支持比quarkus-oidc更多的键格式。Quarkus-oidc只使用属于 JWK 集的 JWK 格式的密钥,而quarkus-smallrye-jwt支持 PEM 密钥。 -
Quarkus-smallrye-jwt处理本地签名、内部签名和加密令牌。相反,虽然quarkus-oidc也可以验证这些令牌,但它将其视为不透明令牌,并通过远程内省进行验证。
架构考虑因素导致您的决定使用不透明或 JSON Web 令牌(JWT)令牌格式。不透明令牌通常比 JWT 令牌更短,但需要大多数令牌关联状态才能在提供程序数据库中维护。不透明令牌是有效的数据库指针。
JWT 令牌比不透明令牌要长。然而,提供商通过将其存储为令牌声明并签名或加密,从而有效地将大多数令牌关联状态委派给客户端。
| 所需功能 | 身份验证机制 | |
|---|---|---|
|
|
| |
| bearer JWT 验证 | 本地验证或内省 | 本地验证 |
| bearer opaque 令牌验证 | 内省 | 否 |
|
刷新 | 是 | 是 |
|
将令牌表示为 | 是 | 是 |
| 将 JWT 注入为 MP JWT | 是 | 是 |
| 授权代码流 | 是 | 否 |
| 多租户 | 是 | 否 |
| 用户信息支持 | 是 | 否 |
| PEM 密钥格式支持 | 否 | 是 |
| secretKey 支持 | 否 | JSON Web 密钥(JWK)格式 |
| 内部签名和加密令牌 | 内省 | 本地验证 |
| 自定义令牌验证 | 否 | 带有注入的 JWT 解析器 |
| JWT 作为 Cookie 支持 | 否 | 是 |
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}