来自 FOSDEM 2025 关于 OpenID Connect 和 Keycloak 的新视频

摘要： OAuth 2.0 使用访问令牌来授予对受保护资源的访问权限。当使用单页应用程序时，它们作为承载令牌使用 HTTP 标头从浏览器传递到服务器。

虽然它们在使用 TLS 传输过程中是安全的，但这些令牌可能会被从浏览器中窃取、重放，或被恶意或易受攻击的服务器滥用。OAuth 2.0 演示持有证明 (DPoP) 更进一步，为客户端（如您的单页应用程序）配备密钥对，以便在传递访问令牌时可以显示证明，这样其他人就无法使用该访问令牌。DPoP 是 OpenID 基金会的 FAPI 2.0 安全配置文件的一部分。它提倡关于如何保护暴露高价值和敏感（个人和其他）数据的 API 的最佳实践，例如，在金融、电子健康和电子政务应用中。

本次演讲将解释这些概念，并演示如何使用 Keycloak 和其他开源组件来实现这一点。我们还将描述当前方法的挑战、局限性和替代方案。

摘要： 现代 Web 应用程序强烈依赖于身份验证/授权基础设施。为了满足这些需求，OSS 社区强烈支持基于 JSON 和 REST 之上的开放协议，例如 OpenIdConnect 和 OAuth2。反过来，这些协议已在软件产品中实现，例如 Keycloak、WSO2 或 Lemonldap。

OpenId Connect 和 OAuth2 是授权协议，与身份提供商提供的身份验证紧密结合。它们是在各种标准化机构（如 OpenId 基金会或互联网工程任务组）中设计的。理解这些标准是具有挑战性的，但对于实施功能丰富的解决方案、理解为实施者提供的各种选项是必要的。

因此，本次演讲将详细讨论 OIDC 和 OAuth：为了获得标准客户端的访问令牌而存在的各种流程，以及这些协议启用的一些高级功能。

基于 OAuth 2.0/OIDC 和其他 REST API（例如 Keycloak 或 Entry ID）的身份提供商 (IdP) 在基于 Web 的应用程序的身份管理中起着主导作用。但是，对于内部应用程序使用 IdP 的组织仍然必须使用其他服务（通常是基于 LDAP 的服务）来管理对 LINUX/POSIX 用户工作站的访问和身份验证。

为了帮助避免运行两个服务进行身份管理，SSSD 开始使用 IdP 来查找用户并针对 IdP 对其进行身份验证。与 LDAP 相比，在 IdP 世界中，对于 POSIX 用户和组没有标准和约定。

本次演讲将重点介绍 SSSD 如何从 IdP 获取用户和组信息，如何创建 POSIX 所需的信息（例如，数字用户和组 ID），以及存在哪些限制。此外，还将解释为什么选择 OAuth 2.0 设备授权流程进行身份验证并进行演示。

摘要： 验证用户最初可以很简单，即为每个用户设置用户名和密码。但是您还需要处理忘记密码和用户注册的问题。您可能还需要验证电子邮件地址、添加第二因素、让用户根据需要更新其个人资料信息，甚至提供无密码身份验证。

像 Keycloak 这样的单点登录系统可以为您处理所有这些，并在用户通过身份验证后使用 OpenID Connect 和 SAML 等行业标准将用户重定向到您的应用程序。

加入本次演讲，了解如何将围绕身份验证的所有任务委托给 Keycloak。我们将从简单入手，并在我们的演示中启用越来越多的功能，以展示 Keycloak 的功能和灵活性。我们还将了解最新版本的功能和未来的路线图。