OAuth 2.1 与 OIDC 登录流程与安全实践

--- title: OAuth 2.1 与 OIDC 登录流程与安全实践 keywords: - OAuth 2.1 - OIDC - PKCE - 授权码 - state 与 nonce description: 采用授权码 + PKCE 与 OIDC 构建登录流程，覆盖参数校验、令牌处理与安全要点。 categories: - 文章资讯 - 技术教程 --- # OAuth 2.1 与 OIDC 登录流程与安全实践 ## 授权请求（含 PKCE） ``` GET /authorize?response_type=code&client_id=app&redirect_uri=https://app/callback&scope=openid%20profile%20email&state=xyz&nonce=abc&code_challenge=&code_challenge_method=S256 ``` ## 令牌交换（携带 code_verifier） ``` POST /token grant_type=authorization_code&code=&redirect_uri=https://app/callback&client_id=app&code_verifier= ``` ## ID Token 与会话 - 验证签名与 `aud`、`iss`、`exp` - 校验 `nonce` 与回调时的 `state` - 按最小权限保存访问令牌，设置合理有效期 ## 安全要点 - 全程使用 HTTPS，避免令牌泄露 - 使用 `SameSite=Lax` 的回调页 Cookie 降低 CSRF 风险 - 对登出与刷新流程进行显式处理 ## 总结 在授权码 + PKCE 与 OIDC 的组合下，既可获得安全性又保持良好的兼容与用户体验。