我将如何在 Gentics Mesh 中实施 Okta 身份验证？

Question

Gentics Mesh 支持内置 Keycloak，但我想改用 Okta。

什么是最佳实践？

是否需要修改Mesh源代码？

或者我应该在中间件层处理身份验证？

或者我可以实现 AuthServicePlugin 来验证来自 Okta 的令牌吗？
https://github.com/gentics/mesh/blob/dev/plugin-api/src/main/java/com/gentics/mesh/plugin/auth/AuthServicePlugin.java

更新
我已经尝试在 mesh.yml 配置中使用我的 Okta 服务器，但抛出了异常。
这是我的 Okta 服务的 OIDC 网址 -
https://{yourOktaDomain}/oauth2/v1/authorize

不幸的是，OAuth2 实现似乎是特定于 Keycloak 的 -

com.gentics.mesh.core.rest.error.GenericRestException: 500 Internal Server Error oauth_config_error at com.gentics.mesh.core.rest.error.Errors.error(Errors.java:124) ... Caused by: java.lang.RuntimeException: Error while loading realm info. Got code {404} at com.gentics.mesh.auth.MeshOAuth2ServiceImpl.fetchPublicRealmInfo(MeshOAuth2ServiceImpl.java:451)

看起来它拼凑了一个不适用于 Okta 的网址。
https://github.com/gentics/mesh/blob/f85dac8bf954248a6556323d792e6b849fb1d593/services/keycloak-auth/src/main/java/com/gentics/mesh/auth/MeshOAuth2ServiceImpl.java#L434

如果我没记错的话，实现 [MeshOAuth2ServiceImpl] 可以更改为支持任何 OIDC。

Answer 1

身份验证机制最近已更新。

Gentics Mesh 现在将扮演资源服务器的角色。 只要添加了来自 OAuth 服务器的公钥，它就可以接受任何 JWT。

插件 API 已更新，以支持 oauth 用户和网格之间的自定义映射。 例如，这允许您将多个 oauth2 用户映射到一个包含所需角色/组的网格用户。 您还可以创建一个 1:1 映射，其中每个 oauth2 用户都将添加到 Mesh。

OAuth 服务器的公钥可以通过插件 API 加载或硬编码在public-keys.json文件中。

您可以在此处阅读有关此主题的更多信息： https : //getmesh.io/docs/authentication/#_oauth2_oidc

Answer 2

根据 Genetics Mesh 文档， OAuth2 是开箱即用的。 我会使用 Okta 中的 OpenID Connect 功能来获取 JWT 并在 Genetics Mesh 中使用它。

有一个将 OIDC 与 KeyCloak 结合使用的配置示例，但您可以将 Okta 端点替换为提供的 KeyCloak 端点。

security:
  oauth2:
    enabled: true
    config:
      realm: "master"
      authServerUrl: "http://localhost:3000/auth" # Okta endpoint here
      sslRequired: "external"
      resource: "mesh"
      credentials:
        secret: "9b65c378-5b4c-4e25-b5a1-a53a381b5fb4" # application secret here
      confidentialPort: 0

同样根据文档，如果您需要角色映射，则必须创建一个AuthServicePlugin 。