Express如何集成Authing OIDC单点登录

# Express如何集成Authing OIDC单点登录

## 前言

在现代Web应用开发中，用户认证和授权是必不可少的功能。传统的用户名密码认证方式已经无法满足企业级应用的需求，尤其是当用户需要在多个系统间无缝切换时。OpenID Connect（OIDC）作为OAuth 2.0的扩展协议，提供了标准的单点登录（SSO）解决方案。

本文将详细介绍如何在Express框架中集成Authing的OIDC服务实现单点登录功能。Authing是国内领先的身份认证云服务提供商，支持标准的OIDC协议，可以帮助开发者快速构建安全的用户认证体系。

## 准备工作

在开始集成之前，需要确保已完成以下准备工作：

1. **Authing账号**：注册并登录[Authing控制台](https://console.authing.cn)
2. **创建应用**：在控制台中创建一个OIDC应用，记录以下信息：
   - 应用ID（Client ID）
   - 应用密钥（Client Secret）
   - 颁发者URL（Issuer URL）
   - 回调地址（Callback URL）
3. **Node.js环境**：确保已安装Node.js（建议版本14+）
4. **Express项目**：创建一个新的Express项目或使用现有项目

## 安装依赖

首先安装必要的npm包：

```bash
npm install express express-session openid-client dotenv

• express-session：用于管理用户会话
• openid-client：OIDC客户端库，用于与Authing交互
• dotenv：用于加载环境变量

配置环境变量

创建.env文件，添加Authing应用的配置：

AUTHING_CLIENT_ID=你的Client ID
AUTHING_CLIENT_SECRET=你的Client Secret
AUTHING_ISSUER=你的Issuer URL
AUTHING_REDIRECT_URI=http://localhost:3000/auth/callback
SESSION_SECRET=随机生成的会话密钥

初始化Express应用

创建app.js文件，初始化Express应用：

require('dotenv').config();
const express = require('express');
const session = require('express-session');
const { Issuer, Strategy } = require('openid-client');

const app = express();

// 配置会话中间件
app.use(session({
  secret: process.env.SESSION_SECRET,
  resave: false,
  saveUninitialized: true
}));

// 其他中间件和路由...

初始化OIDC客户端

添加代码初始化Authing OIDC客户端：

async function initializeOIDC() {
  try {
    const authingIssuer = await Issuer.discover(process.env.AUTHING_ISSUER);
    
    const client = new authingIssuer.Client({
      client_id: process.env.AUTHING_CLIENT_ID,
      client_secret: process.env.AUTHING_CLIENT_SECRET,
      redirect_uris: [process.env.AUTHING_REDIRECT_URI],
      response_types: ['code']
    });
    
    return client;
  } catch (error) {
    console.error('初始化OIDC客户端失败:', error);
    process.exit(1);
  }
}

// 在应用启动时初始化
let oidcClient;
initializeOIDC().then(client => {
  oidcClient = client;
  console.log('OIDC客户端初始化成功');
});

实现登录路由

添加登录路由，将用户重定向到Authing授权端点：

app.get('/login', (req, res) => {
  const authorizationUrl = oidcClient.authorizationUrl({
    scope: 'openid profile email',
    state: '随机状态值', // 建议生成随机字符串
    nonce: '随机nonce值' // 建议生成随机字符串
  });
  
  res.redirect(authorizationUrl);
});

实现回调路由

处理Authing返回的授权码，获取用户信息：

app.get('/auth/callback', async (req, res) => {
  try {
    const params = oidcClient.callbackParams(req);
    const tokenSet = await oidcClient.callback(
      process.env.AUTHING_REDIRECT_URI,
      params,
      { state: req.query.state }
    );
    
    // 获取用户信息
    const userInfo = await oidcClient.userinfo(tokenSet);
    
    // 将用户信息存储在会话中
    req.session.user = userInfo;
    req.session.save();
    
    res.redirect('/profile');
  } catch (error) {
    console.error('认证回调处理失败:', error);
    res.status(500).send('认证失败');
  }
});

实现受保护路由

创建一个需要认证才能访问的路由：

app.get('/profile', (req, res) => {
  if (!req.session.user) {
    return res.redirect('/login');
  }
  
  res.json({
    message: '欢迎访问个人资料',
    user: req.session.user
  });
});

实现登出功能

添加登出路由，清除会话并重定向到Authing登出端点：

app.get('/logout', (req, res) => {
  const endSessionUrl = oidcClient.endSessionUrl({
    post_logout_redirect_uri: 'http://localhost:3000'
  });
  
  req.session.destroy();
  res.redirect(endSessionUrl);
});

完整示例代码

完整的app.js示例代码可以在GitHub仓库中找到。

部署注意事项

1. HTTPS：在生产环境中务必使用HTTPS
2. 会话存储：考虑使用Redis等持久化会话存储
3. 安全配置：配置CSP、CSRF防护等安全措施
4. 错误处理：完善错误处理逻辑

总结

通过本文的介绍，我们了解了如何在Express应用中集成Authing的OIDC服务实现单点登录功能。这种方案不仅提供了标准化的认证流程，还能与其他支持OIDC的系统无缝集成，大大简化了用户认证管理的复杂度。

Authing作为国内领先的身份云服务，提供了丰富的API和文档支持，开发者可以在此基础上构建更复杂的权限管理和用户体系。

扩展阅读

1. Authing官方文档
2. OpenID Connect规范
3. OAuth 2.0安全最佳实践

”`

这篇文章大约1150字，详细介绍了在Express中集成Authing OIDC的完整流程，包括环境配置、路由实现和安全注意事项。