OIDC / OAuth2 Mock
OAuth 2.0 (RFC 6749) hat drei ansprechbare Service-Rollen: Authorization Server (OIDC nennt es OpenID Provider / OP), Client (OIDC nennt es Relying Party / RP), Resource Server. Terminologie und Gesamtübersicht siehe Mock-Überblick.
Service-Adresse: https://mock.authn.tech/
Authorization Server (OIDC: OpenID Provider / OP)
| Endpunkt | Pfad |
|---|---|
| Discovery | /.well-known/openid-configuration |
| Authorization | /oidc/authorize |
| Token | /oidc/token |
| UserInfo | /oidc/userinfo |
| JWKS | /oidc/jwks.json |
- Zero Registration: Beliebige
client_id/redirect_uriwerden akzeptiert, client secret wird nicht verifiziert. - Authorization Code Flow + PKCE (S256 / plain);
refresh_token(wenn scopeoffline_accessenthält) undclient_credentialsgrant. - Zwei feste Test-Benutzer alice / bob; Autorisierungsanfrage mit
&user=alicekann Benutzerauswahlseite überspringen (CI-freie Interaktion). - CORS vollständig offen, kann direkt von Browser-Frontend aufgerufen werden.
Client (OIDC: Relying Party / RP)
Konsole: https://mock.authn.tech/rp/
Nutzen Sie diesen Mock als Client, verbinden Sie sich mit jeden beliebigen externen OP (Keycloak, Auth0, Okta, Azure AD oder Mock OP dieser Site), durchlaufen Sie komplett Authorization Code + PKCE Login: Geben Sie externen OP issuer und client_id ein → Discovery automatisch abrufen → Login initiieren → Rückruf um Token zu tauschen → Verwenden Sie OP JWKS um ID Token-Signatur zu validieren → Verifizieren Sie iss/aud/nonce/exp → UserInfo aufrufen, zeigen Sie schrittweise an.
Rückruf-Adresse
https://mock.authn.tech/rp/callbackmuss zur Whitelist des externen OP hinzugefügt werden.
Resource Server (Ressourcenserver / geschützte API)
Info-Seite: https://mock.authn.tech/rs/ · Geschützter Endpunkt GET /rs/api
Validieren Sie access token Signatur, Ablauf, token_use und scope (muss profile enthalten), geben Sie geschützte Ressource zurück; unzureichende Berechtigung gibt 403 insufficient_scope zurück, fehlender / ungültiger Token gibt 401 invalid_token zurück.
Aufruffolge (Autorisierungscode + PKCE)
Mit "Ihr RP + Mock OP" als Beispiel:
- RP generiert
code_verifier, berechnetcode_challenge(S256), zusammen mitstate,nonceleitet Browser zu OP/oidc/authorizeum. - OP zeigt Test-Benutzerauswahlseite an (oder wählt direkt mit
&user=alice), springt mitcode+statezu RPredirect_urizurück. - RP vergleicht
state, nutztcode+code_verifierPOST zu OP/oidc/token. - OP validiert PKCE, gibt
id_token/access_token(und optionalrefresh_token) zurück. - RP holt öffentlichen Schlüssel von OP
/oidc/jwks.json, validiert Signatur vonid_token, vergleichtiss/aud/nonce/exp. - RP nutzt
access_tokenum OP/oidc/userinfoaufzurufen (oder RS/rs/apium Benutzerinformation / geschützte Ressource zu erhalten).
Möchten Sie den Effekt direkt sehen? Diese Site hat eine echte klickbare OIDC-Login-Demo, ein Klick durchläuft den obigen Prozess und zeigt die Analyseergebnisse jedes Schritts.
Autorisierungs-Endpunkt-Beispiel (ersetzen Sie Ihre Rückruf-Adresse):
https://mock.authn.tech/oidc/authorize?client_id=demo&redirect_uri=https://your-app.example/callback&response_type=code&scope=openid+profile+email&state=xyz&nonce=n-abc
Token abrufen:
curl -X POST https://mock.authn.tech/oidc/token \
-d grant_type=authorization_code \
-d code=<code> \
-d redirect_uri=https://your-app.example/callback \
-d client_id=demo
Das erhaltene id_token können Sie direkt in den JWT-Parser werfen zum Ansehen.