HTML表单如何实现OpenID Connect？怎样验证用户身份？-html教程-PHP中文网

答案：HTML表单不能直接实现OpenID Connect，而是通过按钮或链接触发认证流程。用户点击登录按钮后，浏览器重定向到身份提供商的授权端点，用户在IdP页面完成认证，IdP将授权码通过回调URL返回，后端用该码向令牌端点换取ID Token和Access Token，服务器需验证ID Token的签名、发行者、受众、过期时间等信息，确认无误后建立本地会话。核心流程为授权码模式，强调用户在第三方域完成认证，应用不接触凭据，确保安全。

html表单如何实现openid connect？怎样验证用户身份？

简单来说，HTML表单本身并不能直接实现OpenID Connect。它们更像是整个认证流程的一个起点或触发器。用户身份的验证，核心在于服务器端对OpenID Connect提供商（IdP）返回的ID Token进行严格校验。

解决方案

要通过HTML表单“实现”OpenID Connect，更准确的说法是，HTML表单（或其中的一个按钮、链接）用于启动OpenID Connect的认证流程。这个流程通常是基于重定向的授权码模式（Authorization Code Flow），而不是直接通过表单提交用户凭据给第三方身份提供商。

实际的工作流程大致如下：

用户点击登录按钮： 你的网页上会有一个“使用Google登录”、“使用GitHub登录”之类的按钮，这通常是一个HTML
```
<a>
```
登录后复制
标签或一个
```
form
```
登录后复制
表单提交按钮。
重定向到身份提供商（IdP）： 当用户点击这个按钮时，你的前端JavaScript或后端逻辑会构建一个URL，然后将用户的浏览器重定向到OpenID Connect提供商的授权端点（Authorization Endpoint）。这个URL会包含你的
client_id
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
、
redirect_uri
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
、请求的
```
scope
```
登录后复制
登录后复制
（例如
```
openid profile email
```
登录后复制
）、
```
response_type=code
```
登录后复制
登录后复制
以及一个
state
登录后复制
登录后复制
登录后复制
登录后复制
参数（用于防止CSRF攻击）。
用户在IdP处认证： 用户在身份提供商的页面上输入他们的凭据并完成认证（比如输入用户名密码、进行双因素验证等）。
IdP重定向回你的应用： 认证成功后，身份提供商会将用户的浏览器重定向回你应用预先注册的
redirect_uri
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
，并在URL参数中带上一个授权码（
code
登录后复制
登录后复制
登录后复制
登录后复制
）和一个
state
登录后复制
登录后复制
登录后复制
登录后复制
参数。
后端交换授权码： 你的应用后端接收到这个授权码后，会立即用它（以及你的
client_id
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
和
```
client_secret
```
登录后复制
登录后复制
）向身份提供商的令牌端点（Token Endpoint）发起一个服务器到服务器的请求。
获取并验证令牌： 身份提供商验证这些信息无误后，会返回一系列令牌，其中最关键的是
id_token
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
（一个JWT）和
```
access_token
```
登录后复制
登录后复制
登录后复制
。你的后端需要对
id_token
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
进行严格的验证。
建立用户会话：
id_token
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
验证通过后，你的应用就可以信任这个用户的身份，并为其创建本地会话。

为什么说HTML表单不能直接实现OpenID Connect？

这其实是个很关键的问题，我常常看到一些初学者会误解这一点。坦白说，HTML表单的设计初衷是收集用户输入并将其提交到服务器。但在OpenID Connect的语境下，你绝不能让用户直接在你的表单里输入他们的Google或GitHub账号密码，然后你再把这些凭据提交给对应的身份提供商。这不仅违反了OpenID Connect的安全设计原则，更是严重的安全漏洞。

立即学习“前端免费学习笔记（深入）”；

OpenID Connect（以及其底层OAuth 2.0）的核心理念是委托授权和身份分离。用户始终在身份提供商自己的域上完成认证，你的应用从不接触用户的原始凭据。HTML表单，如果直接用于收集第三方服务的认证信息，那简直是灾难。它会让你成为一个中间人，承担巨大的安全风险和责任。所以，表单在这里的角色，仅仅是提供一个用户可见的交互元素，来“启动”一个重定向流程，将用户安全地引导到真正的身份认证场所。

OpenID Connect身份验证的核心流程是怎样的？

理解核心流程，才能真正把握住用户身份验证的精髓。对我来说，这就像是理解一套精密的舞蹈动作，每一步都不能错，否则就会踩到脚或者摔倒。

最常见的，也是推荐的流程是授权码模式（Authorization Code Flow）。

启动认证： 用户在你的应用前端点击“登录”按钮，或者你的应用检测到用户未认证，需要登录。
构建授权请求： 你的应用（通常是后端生成，或者前端JS构建并重定向）将用户浏览器重定向到IdP的授权端点（
```
/authorize
```
登录后复制
）。这个请求会带上：
- client_id
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  ：你的应用在IdP那里注册的唯一标识。
- redirect_uri
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  ：IdP认证成功后，将用户重定向回来的URL。
- ```
response_type=code
```
  登录后复制
  登录后复制
  ：表示你想要获取授权码。
- ```
scope=openid profile email
```
  登录后复制
  ：你希望获取的用户信息范围（
```
openid
```
  登录后复制
  是OIDC的强制要求）。
- state
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  ：一个由你的应用生成并存储的随机字符串，用于防止CSRF攻击。
- nonce
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  （可选但推荐）：另一个随机字符串，用于防止ID Token重放攻击。
用户认证与授权： 用户在IdP的页面上完成登录。IdP会询问用户是否同意你的应用访问其请求的范围（
```
scope
```
登录后复制
登录后复制
）。
回调与授权码： 如果用户同意并认证成功，IdP会将用户的浏览器重定向回你的
redirect_uri
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
，并在URL参数中附加一个临时的
code
登录后复制
登录后复制
登录后复制
登录后复制
（授权码）和之前你发送的
state
登录后复制
登录后复制
登录后复制
登录后复制
。
交换授权码为令牌： 你的应用后端收到
code
登录后复制
登录后复制
登录后复制
登录后复制
后，会立即向IdP的令牌端点（
```
/token
```
登录后复制
）发起一个后端到后端的POST请求。这个请求会包含：
- ```
grant_type=authorization_code
```
  登录后复制
- code
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  ：刚才收到的授权码。
- redirect_uri
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  ：必须与第一步中的完全一致。
- client_id
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  和
```
client_secret
```
  登录后复制
  登录后复制
  ：用于验证你的应用身份。
接收并验证令牌： IdP验证这些信息无误后，会返回一个JSON对象，其中包含：
- id_token
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  ：一个JWT（JSON Web Token），包含了用户的身份信息（如用户ID、姓名、邮箱等）。这是你验证用户身份的核心。
- access_token
  登录后复制
  登录后复制
  登录后复制
  ：用于访问IdP或其他受保护资源（如用户信息API）的令牌。
- ```
expires_in
```
  登录后复制
  ：
  access_token
  登录后复制
  登录后复制
  登录后复制
  的有效期。
- ```
token_type
```
  登录后复制
  ：通常是
```
Bearer
```
  登录后复制
  。
建立会话： 你的后端在成功验证
id_token
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
后，就可以为用户创建本地会话（如设置Session或颁发自己的JWT），完成登录。

如何在服务器端安全地验证OpenID Connect的ID Token？

这是整个流程中，我个人觉得最需要投入精力去理解和实现的部分。ID Token的验证，直接关系到你是否能信任一个用户的身份。如果这一步出了问题，那么整个认证体系都可能被攻破。

id_token

登录后复制

本质上是一个JWT，它由三部分组成：头部（Header）、载荷（Payload）和签名（Signature），用点号

登录后复制

连接。验证它，就是确保这三部分是合法的、未被篡改的，并且信息是为你准备的。

以下是服务器端验证

id_token

登录后复制

的关键步骤：

解析JWT结构： 首先，将
id_token
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
登录后复制
字符串解析成头部、载荷和签名。
验证签名（Signature Validation）：
- 获取IdP的公钥：你需要从IdP的JWKS（JSON Web Key Set）端点获取其公钥。这个端点通常在IdP的发现文档（Discovery Document，位于
```
/.well-known/openid-configuration
```
  登录后复制
  ）中指定。
- 使用对应的公钥来验证
  id_token
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  的签名。这是最重要的一步，它确保了令牌是由合法的IdP颁发，并且在传输过程中未被篡改。如果签名无效，立即拒绝。
验证发行者（
iss
登录后复制
登录后复制
claim）：
- 检查
  id_token
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  的
```
iss
```
  登录后复制
  登录后复制
  （issuer）声明，它必须精确匹配你期望的OpenID Connect提供商的URL。例如，如果是Google，它应该是
```
https://accounts.google.com
```
  登录后复制
  。
验证受众（
aud
登录后复制
登录后复制
登录后复制
claim）：
- 检查
  id_token
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  的
  aud
  登录后复制
  登录后复制
  登录后复制
  （audience）声明，它必须包含你的
  client_id
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  。这确保了令牌是为你的应用颁发的。有些情况下，
  aud
  登录后复制
  登录后复制
  登录后复制
  可能是一个数组，只要其中包含你的
  client_id
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  即可。
验证过期时间（
exp
登录后复制
登录后复制
登录后复制
claim）：
- 检查
  id_token
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  的
  exp
  登录后复制
  登录后复制
  登录后复制
  （expiration time）声明，它表示令牌的过期时间（Unix时间戳）。确保当前时间在
  exp
  登录后复制
  登录后复制
  登录后复制
  之前。令牌一旦过期，就不能再使用。
验证生效时间（
nbf
登录后复制
登录后复制
登录后复制
claim - 如果存在）：
- 如果
  id_token
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  包含
  nbf
  登录后复制
  登录后复制
  登录后复制
  （not before）声明，表示令牌在此时间之前是无效的。确保当前时间在
  nbf
  登录后复制
  登录后复制
  登录后复制
  之后。
验证Nonce（
nonce
登录后复制
登录后复制
登录后复制
登录后复制
claim - 如果你在请求中发送了）：
- 如果你在初始的授权请求中包含了
  nonce
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  参数，那么
  id_token
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  中也应该包含一个匹配的
  nonce
  登录后复制
  登录后复制
  登录后复制
  登录后复制
  。验证这两个值是否一致，这是防止重放攻击的关键防御措施。
验证授权时间（
auth_time
登录后复制
登录后复制
claim - 如果需要）：
- ```
auth_time
```
  登录后复制
  登录后复制
  声明表示用户在IdP上认证的时间。如果你有安全要求，比如用户必须在最近X分钟内认证过，可以检查这个值。

通常，你不会手动实现所有这些验证逻辑。成熟的编程语言和框架都有现成的OpenID Connect客户端库（例如Python的

python-jose

登录后复制

，Node.js的

node-openid-client

登录后复制

，Java的Spring Security OAuth/OIDC模块），它们会帮你处理这些复杂的验证步骤。使用这些库不仅能提高开发效率，更重要的是，它们经过了严格的安全审计，能有效避免常见的安全漏洞。我的建议是，除非你对OpenID Connect规范和JWT安全有极其深入的理解，否则务必使用这些经过验证的库。

以上就是HTML表单如何实现OpenID Connect？怎样验证用户身份？的详细内容，更多请关注php中文网其它相关文章！