本项目已集成 OpenID Connect (OIDC) 单点登录功能,支持 pocket-id 等 OIDC 提供商。
- 使用 authlib 库实现标准 OIDC 协议
- 支持自动创建用户账号
- 不修改现有数据模型
- 与现有 JWT 认证系统无缝集成
在 .env 文件中添加以下配置:
# 启用 OIDC 单点登录
OIDC_ENABLED=true
# OIDC 客户端 ID(必填)
OIDC_CLIENT_ID=your_client_id
# OIDC 客户端密钥(必填)
OIDC_CLIENT_SECRET=your_client_secret
# OIDC 提供商的 Issuer URL(必填,不包含 .well-known/openid-configuration)
OIDC_ISSUER_URL=https://your-oidc-provider.com
# OIDC 请求的权限范围(可选,默认为 "openid profile email")
OIDC_SCOPES=openid profile email
# 自动创建用户的默认角色(可选,默认为 1)
# 1 = 普通用户(RoleEnum.USER)
# 10 = 管理员(RoleEnum.ADMIN)
OIDC_AUTO_CREATE_USER_ROLE=1
# 自动创建用户的默认状态(可选,默认为 false)
# true = 启用账号
# false = 禁用账号(需要管理员手动启用)
OIDC_AUTO_CREATE_USER_STATUS=false重要说明:
- 回调地址由系统自动生成(
/api/oidc/callback),无需手动配置 - 在 OIDC 提供商中配置回调地址时,使用完整 URL,例如:
https://xxx.com/api/oidc/callback - 生产环境建议使用 HTTPS 协议
- 本实现尽可能不修改现有数据模型,OIDC 用户使用现有的
UserModel - OIDC 用户的
password字段为空字符串,不影响系统功能 - 用户可以同时使用 OIDC 登录和传统登录(如果管理员为 OIDC 用户设置了密码)
- 系统会自动处理用户创建和更新,无需手动干预