Node.js 应用中的 OpenID Connect 认证架构选型
express-openid-connect 和 oidc-provider 都是 Node.js 生态中处理 OpenID Connect (OIDC) 协议的核心库,但它们的定位截然不同。express-openid-connect 是一个客户端(Relying Party)中间件,旨在帮助 Express 应用快速集成现有的身份认证服务(如 Auth0、Okta),实现用户登录和会话管理。而 oidc-provider 是一个服务端(OpenID Provider)库,允许开发者构建自己的身份认证服务器,为其他应用提供登录能力。理解这一根本区别是架构选型的关键。
npm下载趋势
GitHub Stars 排名
统计详情
Express-OpenID-Connect vs OIDC-Provider: 认证架构的深度对比
在 Node.js 后端开发中,处理身份认证通常面临两个截然不同的方向:是接入现有的认证服务,还是构建自己的认证中心?express-openid-connect 和 oidc-provider 分别代表了这两个方向的行业标准解决方案。虽然它们都基于 OpenID Connect 协议,但它们在应用架构中的角色完全相反。让我们从实际工程角度深入对比。
🎯 核心定位:认证客户端 vs 认证服务端
express-openid-connect 是一个依赖方 (Relying Party, RP) 库。
- 它的作用是让你们的业务应用(如电商后台、SaaS 平台)能够“信任”外部的身份提供商。
- 它处理登录重定向、回调验证、Token 交换和用户会话维持。
- 你不需要存储用户密码,只需要配置提供商的地址和客户端 ID。
// express-openid-connect: 作为客户端集成认证
const { auth } = require('express-openid-connect');
app.use(auth({
auth0Logout: true,
baseURL: 'https://your-app.com',
clientID: 'YOUR_CLIENT_ID',
issuerBaseURL: 'https://your-tenant.auth0.com'
}));
// 保护路由
app.get('/profile', requiresAuth(), (req, res) => {
res.send(req.oidc.user); // 直接获取用户信息
});
oidc-provider 是一个开放提供商 (OpenID Provider, OP) 库。
- 它的作用是让你的应用变成一个“身份认证中心”,其他应用来向你登录。
- 它负责验证用户凭证(密码、短信等)、颁发 Token、处理授权同意页面。
- 你需要自己实现用户存储、密码加密和交互界面。
// oidc-provider: 构建自己的认证服务器
const Provider = require('oidc-provider');
const provider = new Provider('https://your-idp.com', {
clients: [
{
client_id: 'client-1',
client_secret: 'secret',
redirect_uris: ['https://app-1.com/callback']
}
],
// 配置密钥对用于签名 Token
jwks: {
keys: [{
kty: 'RSA',
kid: 'my-key',
n: '...',
e: 'AQAB',
d: '...',
p: '...',
q: '...'
}]
}
});
app.use(provider.app);
🛠️ 集成复杂度:配置驱动 vs 实现驱动
express-openid-connect 追求开箱即用。
- 大部分行为通过配置文件控制,如会话时长、重试策略。
- 内置了针对 Auth0 的优化,但也支持标准 OIDC 提供商。
- 开发者主要关注如何保护路由和获取用户信息,无需关心协议细节。
// 配置会话和授权参数
app.use(auth({
session: {
duration: 3600, // 会话有效期 1 小时
absoluteDuration: 7200
},
authorizationParams: {
response_type: 'code',
scope: 'openid profile email'
}
}));
oidc-provider 要求深度定制。
- 你需要定义交互策略(Interaction Policy),例如决定何时显示登录页或同意页。
- 需要处理各种 OIDC 流程(Authorization Code, Implicit, Hybrid, Device Flow 等)。
- 适合有专门安全团队或需要高度合规的场景。
// 自定义交互策略:决定何时跳过登录
const policy = provider.interactionPolicy;
policy.add(new policy.Check('skip_login', (ctx) => {
// 如果已有有效会话,跳过登录页
return ctx.session?.accountId;
}), true);
🔐 安全与会话管理:托管 vs 自控
express-openid-connect 依赖加密会话 Cookie。
- 它默认使用加密的 Cookie 来存储会话状态,防止篡改。
- 支持旋转刷新令牌(Rotating Refresh Tokens)以增强安全性。
- 如果密钥泄露,所有会话可能受影响,因此密钥管理至关重要。
// 配置会话密钥(生产环境必须使用环境变量)
app.use(auth({
secret: process.env.SESSION_SECRET,
auth0Logout: true,
// 启用刷新令牌旋转
tokenEndpointParams: {
token_endpoint_auth_method: 'client_secret_post'
}
}));
oidc-provider 提供细粒度的安全控制。
- 你可以自定义 Token 的签名算法、有效期和存储方式。
- 支持配置客户端白名单、CORS 策略和速率限制。
- 你需要自己确保持久化存储(如 Redis/DB)的安全性和一致性。
// 配置 Token 格式和安全策略
const provider = new Provider('https://idp.com', {
features: {
encryption: { enabled: true }, // 启用 ID Token 加密
mTLs: { enabled: false }
},
// 自定义 Token 过期时间
expires: {
AccessToken: 3600,
RefreshToken: 1209600
}
});
🔄 用户流程:标准登录 vs 自定义交互
express-openid-connect 流程是固定的。
- 用户点击登录 -> 重定向到提供商 -> 提供商验证 -> 回调回应用。
- 你无法干预提供商的登录页面样式或验证逻辑(除非使用 Auth0 Actions 等扩展)。
- 适合希望专注于业务逻辑而非认证体验的团队。
// 触发登录流程(自动处理重定向)
app.get('/login', (req, res) => {
res.oidc.login({
returnTo: '/dashboard',
authorizationParams: { prompt: 'login' } // 强制重新登录
});
});
oidc-provider 流程是可编程的。
- 你可以完全控制登录页面的渲染、多因素认证 (MFA) 的触发时机。
- 支持自定义 Grant 类型,例如集成内部遗留系统的认证方式。
- 适合需要统一企业内所有系统登录体验的场景。
// 自定义渲染登录页面(伪代码示例)
provider.renderInteraction = async (ctx, next) => {
// 这里可以接入你自己的 UI 框架渲染登录表单
await renderLoginView(ctx.req, ctx.res, ctx.oidc);
};
🌐 部署与扩展:无状态中间件 vs 有状态服务
express-openid-connect 易于水平扩展。
- 主要是无状态中间件(会话加密后存客户端)或配合外部会话存储。
- 对服务器资源占用低,适合作为微服务的一部分部署。
- 升级通常只需更新依赖,不影响核心业务逻辑。
// 配合 Redis 存储会话以支持多实例
app.use(auth({
session: {
store: new RedisStore({ client: redisClient })
}
}));
oidc-provider 需要独立部署。
- 通常作为独立的认证服务运行,需要高可用性和持久化存储。
- 需要管理密钥轮换(Key Rotation),否则会导致所有客户端验证失败。
- 升级需谨慎,协议变更可能影响所有依赖该 IdP 的客户端应用。
// 配置持久化适配器(必须实现数据库存储)
const adapter = (model) => {
return {
upsert: async (id, payload) => { /* 写入 DB */ },
find: async (id) => { /* 读取 DB */ },
// ... 其他 CRUD 方法
};
};
const provider = new Provider('https://idp.com', { adapter });
🤝 共同点:遵循 OIDC 标准
尽管角色不同,两者都严格遵循 OpenID Connect 核心规范。
- 都支持 ID Token、Access Token 和 Refresh Token 的标准格式。
- 都处理 JWKS (JSON Web Key Set) 用于验证签名。
- 都支持标准的 Discovery 端点 (
.well-known/openid-configuration)。
// 两者都兼容的标准发现端点访问
// 客户端发现提供商配置
const config = await fetch('https://idp.com/.well-known/openid-configuration');
// 服务端自动暴露该端点
// oidc-provider 默认在 /.well-known/openid-configuration 提供配置
📊 总结:关键差异对比
| 特性 | express-openid-connect | oidc-provider |
|---|---|---|
| 角色 | 🧑💻 客户端 (Relying Party) | 🏢 服务端 (Identity Provider) |
| 主要用途 | 保护你的应用,接入外部登录 | 构建认证中心,让别人接入你 |
| 用户数据存储 | ❌ 不存储 (依赖外部) | ✅ 需自行实现存储 |
| 配置复杂度 | ⭐ 低 (配置文件为主) | ⭐⭐⭐⭐⭐ 高 (需实现逻辑) |
| 适用场景 | 业务系统、SaaS、后台管理 | 统一身份认证平台、IAM 系统 |
| 维护成本 | 低 (跟随库更新) | 高 (需关注安全补丁/协议) |
💡 架构决策建议
选择 express-openid-connect 的情况:
你正在开发一个普通的 Web 应用,需要用户登录功能,但不想自己处理密码存储、邮箱验证、多因素认证等复杂的安全问题。你愿意使用 Auth0、Okta 或自建的关键cloak 作为身份源。这是90% 业务应用的最佳选择。
选择 oidc-provider 的情况:
你正在构建一个平台型产品,需要为多个子系统或第三方合作伙伴提供统一的账号体系。你有合规需求(如数据必须留在内网),无法使用云厂商的认证服务。你有足够的资源维护一个高可用的认证服务团队。这是构建 IAM/IDM 系统的基础设施选择。
最终建议:不要混淆两者的角色。如果你的需求是“让用户登录我的网站”,请用 express-openid-connect。如果你的需求是“让我的网站成为登录入口”,请用 oidc-provider。在微服务架构中,通常会看到两者共存:oidc-provider 构建中央认证服务,而各个微服务使用 express-openid-connect 进行接入。
如何选择: oidc-provider vs express-openid-connect
- oidc-provider:
选择
oidc-provider如果你需要构建一个身份认证平台,让其他第三方应用或内部微服务通过你的系统进行登录。它适合需要完全控制认证流程、支持自定义 Grant 类型或合规性要求极高的场景。如果你打算替代 Auth0 或 Okta 自建 IdP,这是目前 Node.js 生态中最成熟的标准实现方案。 - express-openid-connect:
选择
express-openid-connect如果你的目标是保护自己的 Express 应用,并希望用户通过现有的身份提供商(如 Auth0、Google、Azure AD)进行登录。它适合大多数需要快速集成单点登录 (SSO) 的业务系统,配置简单且内置了会话管理。如果你不需要自己管理用户密码或颁发 Token,只需验证用户身份,这是最佳选择。
热门对比
oidc-provider的README
oidc-provider
This module provides an OAuth 2.0 (RFC 6749) Authorization Server with support for OpenID Connect (OIDC) and many other additional features and standards.
Table of Contents
Implemented specs & features
The following specifications are implemented by oidc-provider (not exhaustive):
Note that not all features are enabled by default, check the configuration section on how to enable them.
RFC6749- OAuth 2.0 &OIDCCore 1.0- OIDC
Discovery 1.0&RFC8414Authorization Server Metadata - Dynamic Client Registration
- OIDC
RP-Initiated Logout 1.0 - OIDC
Back-Channel Logout 1.0 RFC7009- OAuth 2.0 Token RevocationRFC7636- Proof Key for Code Exchange (PKCE)RFC7662- OAuth 2.0 Token IntrospectionRFC8252- OAuth 2.0 for Native Apps BCP (AppAuth)RFC8628- OAuth 2.0 Device Authorization Grant (Device Flow)RFC8705- OAuth 2.0 Mutual TLS Client Authentication and Certificate Bound Access Tokens (MTLS)RFC8707- OAuth 2.0 Resource IndicatorsRFC9101- OAuth 2.0 JWT-Secured Authorization Request (JAR)RFC9126- OAuth 2.0 Pushed Authorization Requests (PAR)RFC9207- OAuth 2.0 Authorization Server Issuer Identifier in Authorization ResponseRFC9449- OAuth 2.0 Demonstration of Proof-of-Possession at the Application Layer (DPoP)RFC9701- JWT Response for OAuth Token Introspection- FAPI 1.0 Security Profile - Part 2: Advanced (
FAPI 1.0) - FAPI 2.0 Security Profile (
FAPI 2.0) - FAPI 2.0 Message Signing (
FAPI 2.0) - JWT Secured Authorization Response Mode for OAuth 2.0 (
JARM) - OIDC Client Initiated Backchannel Authentication Flow (
CIBA) - OIDC Relying Party Metadata Choices 1.0
Supported Access Token formats:
The following specifications and drafts are implemented as experimental features:
- Financial-grade API: Client Initiated Backchannel Authentication Profile (
FAPI-CIBA) - Implementers Draft 01 - OAuth 2.0 Attestation-Based Client Authentication - Draft 06
- OAuth Client ID Metadata Document (
CIMD) - Draft 01
Updates to experimental feature specification versions are released as MINOR library versions,
if you utilize these features consider using the tilde ~ operator in your
package.json since breaking changes may be introduced as part of these version updates. Alternatively
acknowledge the version and be notified of breaking changes as part of
your CI.
Certification
Filip Skokan has certified that oidc-provider
conforms to the following profiles of the OpenID Connect™ protocol.
- Basic, Implicit, Hybrid, Config, Form Post, and 3rd Party-Init
- Back-Channel Logout and RP-Initiated Logout
- FAPI 1.0
- FAPI CIBA
- FAPI 2.0
Sponsor
If you want to quickly add OpenID Connect authentication to Node.js apps, feel free to check out Auth0's Node.js SDK and free plan. Create an Auth0 account; it's free!
Support
If you or your company use this module, or you need help using/upgrading the module, please consider becoming a sponsor so I can continue maintaining it and adding new features carefree. The only way to guarantee you get feedback from the author & sole maintainer of this module is to support the package through GitHub Sponsors.
Documentation & Configuration
oidc-provider can be mounted to existing connect, express, fastify, hapi, or koa applications, see how. The authorization server allows to be extended and configured in various ways to fit a variety of uses. See the documentation and example folder.
import * as oidc from "oidc-provider";
const provider = new oidc.Provider("http://localhost:3000", {
// refer to the documentation for other available configuration
clients: [
{
client_id: "foo",
client_secret: "bar",
redirect_uris: ["http://localhost:8080/cb"],
// ... other client properties
},
],
});
const server = provider.listen(3000, () => {
console.log(
"oidc-provider listening on port 3000, check http://localhost:3000/.well-known/openid-configuration",
);
});
External type definitions are available via DefinitelyTyped.
Community Guides
Collection of Community-maintained configuration use cases are in the Community Guides Discussions section
Events
oidc-provider instances are event emitters, using event handlers you can hook into the various actions and i.e. emit metrics that react to specific triggers. See the list of available emitted event names and their description.
Supported Versions
| Version | Security Fixes 🔑 | Other Bug Fixes 🐞 | New Features ⭐ |
|---|---|---|---|
| v9.x | Security Policy | ✅ | ✅ |
| v8.x | Security Policy | ❌ | ❌ |