标签: auth0

我研究 SPA 的 SSO 解决方案已经有一段时间了。有很多解决方案存在细微的差别，同时我还发现并不是每个人对 SSO 都有相同的理解，并且没有多少针对 SPA 的 SSO 既定模式。因此，我并不要求详细的设计/架构，只是尝试看看这个主题是否有任何常见的做法。

SSO 意味着什么？

1. 我们正在开发一些新的 SPA（也可能是移动和平板电脑应用程序），它们将部署在不同的服务器中并具有不同的域。
2. 我们还有一个中央 IdP（authServer），其中将存储所有用户身份。
3. 一旦我登录到SPA1并单击一个按钮，将我带到SPA2（或可能是 SPA3、SPA4），我不必输入用户凭据，并且将自动登录。

SPA有什么区别？（与常规网络应用程序相反）

我研究了一些解决方案，甚至是像 SAML 这样的旧解决方案（只是想了解一下 SSO..）。我当前的候选者是OpenId Connect，但后来我意识到 SPA 的差异，如果我的理解是正确的话：与常规 Web 应用程序不同，SPA 通常没有（或者我们尝试没有）后端服务器。SPA 所拥有的只是一个提供静态页面以及脚本、样式表和图像的服务器。

现在问题来了：

OpenId Connect基于OAuth2 授权代码授予类型，这意味着：

1. 如果我想让每个 SPA 正常工作，我需要一个类似后端代理的模块。
2. 我使用另一种解决方案来执行客户端 SSO，例如auth0 提供的解决方案
3. 我还没有找到任何其他解决方案/示例

我的问题：

对于上述第1点，我的理解正确吗？是不是不要让 SPA 像常规 Web 应用程序那样拥有后端代码？

对于上面的第 2 点，这听起来像是一个解决方案，但这与OAuth2 隐式授权类型有什么本质上的不同？

并且，还有其他我应该知道但尚未探索的解决方案（框架、协议等）吗？

我有点被困在这里了。我正在客户端使用 Angular 4 编写一个 Web 应用程序，在服务器端使用 Node/Express/Mongo 编写一个 REST API，并使用 Auth0 API 进行身份验证。

在服务器端，我提供静态文件和所有到 Angular 的路由，如下所示：

const distDir = __dirname + "/dist/";
app.use(express.static(distDir));

app.get('/*', function(req, res) {
    res.sendFile(path.join(__dirname + '/dist/index.html'));
});

如果没有为所有 Angular 应用程序提供服务的 app.get 方法，我会收到 404 错误（例如无法 GET /callback）。

问题是 sendFile 发送一个 html 文件，无论调用是什么。在我的应用程序中，第一个调用是针对 js 文件的，如“网络”选项卡 (auth0.min.js) 中所示。所以我得到这个错误：

ERROR SyntaxError: Unexpected token < in JSON at position 0
    at JSON.parse (<anonymous>)
    at e.CPp0.t.json (vendor.b69a8a4fa217eba4fba0.bundle.js:1)
    at e.project (main.0e8acae237e497f792ab.bundle.js:1)
    at e._next (vendor.b69a8a4fa217eba4fba0.bundle.js:1)
    at e.T14+.e.next (vendor.b69a8a4fa217eba4fba0.bundle.js:1)
    at XMLHttpRequest.s (vendor.b69a8a4fa217eba4fba0.bundle.js:1)
    at e.invokeTask (polyfills.043084ca495430fc14f3.bundle.js:1) …

我一直在尝试在我们的网站上使用 Auth0 的实现来运行 Cypress。我已经尝试了 Auth0 社区已经提供的大量内容，但似乎没有任何效果。

问题是：当我访问 url 端点时，它会将我重定向到 Auth0 登录页面。在那里我可以添加我的用户名和密码来登录。当我手动执行此操作时，这不是问题，但当我使用 cy.get 或 cy.visit 执行此操作时，出现以下错误：

Refused to frame 'auth0tenant.auth0.com' because an ancestor violates the following Content Security Policy directive: "frame-ancestors 'none'".

我尝试将以下标头添加到我的请求中：

X-Frame-Options: deny
Content-Security-Policy: frame-ancestors 'none'

这是行不通的。

关注 Auth0 为 Cypress 提供的这篇博客也不起作用。

我还在我的 Auth0 租户设置中将点击劫持设置为 ON。那也没有完成任务。

我还尝试按照在浏览器中设置的方式在本地存储中设置 cookie，但这也不起作用。基本上，我获取了 jwt 令牌，对其进行解码，并将受众和域的值添加到浏览器中的本地存储中。但由于我无法修复的 CSP 错误，浏览器本身无法加载。

该地区的任何帮助将不胜感激。谢谢你！

我想将所有现有用户从 AWS Cognito 池移至 Auth0。最好使用现有密码，或者如果必须更改密码，则使用即时迁移。我在网上看到了将 Okta/Stormpath 等用户迁移到 auth0 的用户指南，但没有看到任何有关 cognito 到 autho inegration 的内容。任何指针都会有帮助。

很可能我误解了有关该主题的某些内容或在实施过程中遗漏了某些内容

我浏览了 Auth0 的文档，通过端点而不是 SDK 使用 PKCE 创建授权代码流，我看到我们提出了如下挑战和验证程序（来自 auth0 文档）：

// Dependency: Node.js crypto module
// https://nodejs.org/api/crypto.html#crypto_crypto
function base64URLEncode(str) {
    return str.toString('base64')
        .replace(/\+/g, '-')
        .replace(/\//g, '_')
        .replace(/=/g, '');
}
var verifier = base64URLEncode(crypto.randomBytes(32));

和

// Dependency: Node.js crypto module
// https://nodejs.org/api/crypto.html#crypto_crypto
function sha256(buffer) {
    return crypto.createHash('sha256').update(buffer).digest();
}
var challenge = base64URLEncode(sha256(verifier));

然后我们将质询传递给授权端点，如下所示（来自 auth0 文档）：

https://YOUR_DOMAIN/authorize?
    response_type=code&
    code_challenge=CODE_CHALLENGE&
    code_challenge_method=S256&
    client_id=YOUR_CLIENT_ID&
    redirect_uri=YOUR_CALLBACK_URL&
    scope=SCOPE&
    audience=API_AUDIENCE&
    state=STATE

并将代码和验证器传递到令牌端点，如下所示（再次来自 auth0 文档）：

curl --request POST \
  --url 'https://YOUR_DOMAIN/oauth/token' \
  --header 'content-type: application/x-www-form-urlencoded' \
  --data grant_type=authorization_code \ …

我正在尝试在Angular 应用程序中使用Auth0，但是当我在 [https://manage.auth0.com/dashboard/] 中设置配置时，单击“保存更改”按钮时出现此错误