-
Authelia
轻量级开源单点登录(SSO)和身份认证网关,内置 Web 登录界面,也可作为 OIDC Provider。用户数据源支持本地 YAML 文件和 LDAP,不支持直接对接外部 OIDC/OAuth2 提供商。常与 Nginx 等反向代理结合使用,适合资源有限场景。内存约 200MB。
https://www.authelia.com/ -
OPA (Open Policy Agent)
轻量级权限控制策略引擎,只负责权限决策,不做用户认证。通常与认证系统(如 Authelia、Keycloak)配合,通过脚本灵活控制访问权限。 -
Keycloak
功能丰富的身份和访问管理系统,支持 SSO、用户认证、授权、用户管理等,兼容 OAuth2、OIDC、SAML 等协议,可集成多种第三方身份源(如 Google、GitHub、LDAP 等)。Java 开发,资源占用较高,内存建议 2GB 以上。
https://www.keycloak.org/ -
Authentik
Python(Django)开发,功能比 Authelia 丰富,带 Web 管理界面,支持多种认证方式和外部身份源(OIDC、LDAP、SAML 等)。资源占用比 Keycloak 低,建议内存 1GB 以上,需配合 PostgreSQL 使用。 -
OAuth2 Proxy
作为反向代理认证中间件,为不支持 OIDC 的老应用提供 OAuth2/OIDC 登录支持。每个实例只能对接一个 OIDC/OAuth2 提供商,无用户管理系统和登录界面,用户直接跳转到后端 OIDC 提供商登录。
https://github.com/oauth2-proxy/oauth2-proxy -
Dex
Go 开发的轻量级 OIDC 网关,内存约 100MB。自身不带用户系统,主要聚合外部身份源(如 LDAP、GitHub、Google 等),为客户端提供统一 OIDC 登录接口。
- OpenLDAP
最常用、开源、跨平台的 LDAP 服务器,资源占用低,社区活跃。
适合中小型项目和测试环境。50MB ~ 150MB
- 389 Directory Server
由 Red Hat 维护,开源,安装和管理相对简单,资源占用也较低。
适合需要更好管理界面和扩展性的场景。100MB ~ 300MB
- Apache Directory Server
Apache 基金会出品,纯 Java 实现,带有图形化管理工具(Apache Directory Studio)。
适合需要跨平台和可视化管理的用户。100MB ~ 300MB
- TinyLDAP / LLDAP
LLDAP 是用 Rust 开发的现代轻量级 LDAP 服务器,适合个人和小团队,易于 Docker 部署。20MB ~ 80MB