Authelia项目OpenID Connect 1.0客户端配置详解

Authelia项目OpenID Connect 1.0客户端配置详解

authelia The Single Sign-On Multi-Factor portal for web apps 项目地址: https://gitcode.com/gh_mirrors/au/authelia

什么是OpenID Connect客户端配置

在Authelia项目中，OpenID Connect（OIDC）1.0客户端配置是指定义和配置那些需要使用Authelia作为身份提供者（Identity Provider）的应用程序。这些配置决定了客户端如何与Authelia交互，包括认证流程、令牌发放、安全策略等重要方面。

核心配置选项解析

客户端标识与凭证

1. client_id
   这是客户端的唯一标识符，必须与应用中配置的完全匹配。建议使用较长的随机字母数字字符串，需满足：

   • 不超过100个字符
   • 仅包含RFC3986未保留字符
   • 在所有配置的客户端中保持唯一

2. client_secret
   客户端与Authelia之间的共享密钥，必须与应用中配置的匹配。对于机密客户端类型是必需的，但对于公共客户端类型则必须留空。

3. public
   布尔值，默认为false。设为true表示这是一个公共客户端（如SPA或CLI工具），此时client_secret必须为空。

安全相关配置

1. redirect_uris
   定义允许的回调URI列表，所有其他回调都将被视为不安全。URI区分大小写，必须包含http或https方案。

2. sector_identifier_uri
   用于配置Pairwise标识符算法的关键选项。这是一个HTTPS URL，指向包含redirect_uris的JSON文档。调整此选项会改变所有令牌的sub声明。

3. authorization_policy
   定义客户端的授权策略，默认为"two_factor"。可以是：

   • "one_factor"：仅需单因素认证
   • "two_factor"：需要双因素认证
   • 自定义策略名称

令牌与响应配置

1. scopes
   定义客户端允许使用的范围，默认为openid、groups、profile和email。应根据应用需求配置。

2. grant_types
   定义客户端可用于获取访问令牌的授权类型，默认为"authorization_code"。

3. response_types
   定义客户端支持的响应类型，默认为"code"。出于安全考虑，建议仅使用此类型。

4. response_modes
   定义如何将响应返回给客户端，默认为"form_post"和"query"。

高级配置选项

令牌生命周期与声明

1. lifespan
   可指定自定义令牌生命周期名称，需在全局lifespans部分定义。

2. claims_policy
   可指定自定义声明策略名称，需在全局claims_policies部分定义。

3. requested_audience_mode
   控制客户端请求的有效受众，可选：

   • "explicit"：需要显式请求
   • "implicit"：假设请求所有允许的受众

加密与签名配置

Authelia提供了丰富的加密和签名配置选项，包括：

1. 各种令牌的签名算法（如id_token_signed_response_alg）
2. 加密算法配置（如id_token_encrypted_response_enc）
3. 端点认证方法（如token_endpoint_auth_method）

这些选项允许精细控制令牌的安全特性。

最佳实践与注意事项

1. 安全建议：

   • 对于client_id使用足够长的随机字符串
   • 尽可能使用"code"响应类型
   • 谨慎配置response_modes

2. 隐私考虑：

   • sector_identifier_uri可用于增强用户隐私
   • 但需注意它会影响所有令牌的sub声明

3. 调试技巧：

   • 从简单配置开始，逐步添加复杂选项
   • 关注日志中的警告信息

配置示例

identity_providers:
  oidc:
    clients:
      - client_id: 'my-app-client'
        client_name: 'My Application'
        client_secret: '$pbkdf2...' 
        public: false
        redirect_uris:
          - 'https://app.example.com/callback'
        scopes:
          - 'openid'
          - 'email'
        authorization_policy: 'two_factor'
        response_types:
          - 'code'

通过以上配置，开发者可以灵活地为不同应用定制OpenID Connect集成方案，同时确保安全性和可用性。

authelia The Single Sign-On Multi-Factor portal for web apps 项目地址: https://gitcode.com/gh_mirrors/au/authelia