阿里终面:说说OAuth2.0 与 单点登录的区别?

已于 2022-08-30 15:07:34 修改
阅读量1k 收藏 1
点赞数 1
分类专栏: Java 编程 程序员 文章标签: java 开发语言
于 2022-08-30 14:59:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Cr1556648487/article/details/126604274
版权
本文探讨了OAuth2.0和单点登录(SSO)的区别,强调OAuth2.0主要用于授权第三方应用访问资源,而SSO关注于在一个互信系统内实现一次登录。Oauth2.0可以实现SSO,但更注重资源保护。同时,介绍了单点登录的实现,包括使用Oauth2.0和CAS框架。CAS的流程包括用户登录、SSO系统验证、业务系统获取用户信息并设置局部session。文章建议开发者根据需求和复杂度选择合适的方法。
摘要由CSDN通过智能技术生成

什么是单点登录

简单的说就是在多个应用的系统中,用户只需要登录一次就可以访问权限范围内的所有应用子系统,同样的注销也只需要注销一次。

比如百度这个网站,用户只要登录了百度的官网,那么对于百度百科、百度知道、百度贴吧等网站都是处于登录状态,这就是一个典型的单点登录的例子。

单点登录和Oauth2.0的区别

虽然Oauth2.0能够实现单点登录,但是在一些方面还是有些区别的,如下:

  1. 信任角度:Oauth2.0授权服务端和第三方客户端不属于一个互相信任的应用群,比如微信和第三方,这就不是一个公司的产品;然而单点登录的服务端和接入的客户端都在同一个相互信任的应用系统中,比如百度官网、百度百科,这都是一个公司的产品

  2. 资源角度:OAuth2.0授权主要是让用户自行决定——“我”在OAuth2.0服务提供方的个人资源是否允许第三方应用访问;而单点登录的资源都在客户端这边,单点登录的服务端主要用于登录,以及管理用户在各个子系统的权限信息。

  3. 流程角度:OAuth2.0授权的时候,第三方客户端需要拿预先“商量”好的密码去获取Access Token;而单点登录则不需要。

Oauth2.0完全可以实现单点登录,但是更加侧重于对于己方资源的保护,了解了这两种的区别才能正确的选择

单点登录的实现

Oauth2.0实现单点登录非常简单,比如微服务下的各个子系统接入Oauth2.0的认证服务,用户从认证服务获取token后,直接通过网关转发给下游子系统则可以实现只需要一次登录

其实除了Oauth2.0以外,还有很多框架能够实现单点登录,比较经典则

最低0.47元/天 解锁文章
鸨哥学JAVA
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OAuth2.0协议入门(三):OAuth2.0授权与单点登录(SSO)的区别以及单点登录服务端从设计到实现...
weixin_34174422的博客
09-11 2048
OAuth2.0授权与单点登录(SSO)的区别 在前两篇文章中我介绍了OAuth2.0协议的基本概念(www.zifangsky.cn/1309.html)以及OAuth2.0授权服务端从设计到实现(www.zifangsky.cn/1313.html)。这篇文章中我将介绍OAuth2.0授权与单点登录区别,这两个概念看似很相似,实际上却有很大区别,而很多人往往把二者混为一谈。 什么是单点登...
转-OAuth2.0 原理流程及其单点登录和权限控制
最新发布
booleandev
07-09 767
传统的多点登录系统中,每个站点都实现了本站专用的帐号数据库和登录模块。各站点的登录状态相互不认可,各站点需要逐一手工登录。认证(authentication): 验证用户的身份;授权(authorization): 验证用户的访问权限。
CAS的单点登录oauth2的最大区别
weixin_34407348的博客
10-11 883
CAS的单点登录时保障客户端的用户资源的安全 oauth2则是保障服务端的用户资源的安全   CAS客户端要获取的最终信息是,这个用户到底有没有权限访问我(CAS客户端)的资源。 oauth2获取的最终信息是,我(oauth2服务提供方)的用户的资源到底能不能让你(oauth2的客户端)访问   CAS的单点登录,资源都在客户端这边,不在CAS的服务器那一方。 用户在给CAS服务端提...
OAuth2.0单点登录区别
wh柒八九的博客
06-26 422
本文OAuth2.0单点登录区别 文章目录概述 概述
SpringBoot OAuth2.0认证管理流程详解
begefefsef的博客
08-02 677
添加下方名片,即可获取全套学习资料哦。ExpressionBasedPreInvocationAdvice.before方法即根据定义的注解来校验是否有权限访问该接口,入下图所示,用户具备的权限包括orderDetail和orderInfo,而注解校验是否包含orderInfo权限,故校验通过。返回结果中包含state和code两个参数,state和请求中的参数一致,code表示授权码,客户端只能使用该授权码一次,该返回结果又将请求重定向到localhost8101/login。...
单点登录、JWT和OAuth2
weixin_45908458的博客
11-07 1349
单点登录在我们日常的业务开发中十分常见,单凡需要完成用户中心模块的开发都离不开单点登录,所以本文就来聊聊关于单点登录的那些事儿。首先,我们来看一看用户身份认证有哪些方式。 一、用户身份认证的方式 1. 单一服务器模式 ​ 单一服务器模式的实现原理十分简单,只需要将用户的相关登录数据(如用户名)存入session即可。随后服务器向用户返回session_id,session信息都会写入到用户的cookie,用户的每个后续请求都将通过在Cookie中取出session_id传给服务器,服务器收到sessio
SSO单点登录OAuth2.0 区别
何哥的博客
11-06 1062
SSO是Single Sign On(单点登录)的缩写,OAuth是Open Authority(开放授权),这两者都是使用令牌的方式来代替用户密码访问应用。流程上来他们非常相似,但概念上又十分不同。很多人会将其混为一谈,其实这两个还是有些区别的。
SSO 单点登录OAuth2.0区别和理解
好好学java
11-09 432
一、概述SSO是Single Sign On的缩写,OAuth是Open Authority的缩写,这两者都是使用令牌的方式来代替用户密码访问应用。流程上来他们非常相似,但概念上又十分不同。SSO大家应该比较熟悉,它将登录认证和业务系统分离,使用独立的登录中心,实现了在登录中心登录后,所有相关的业务系统都能免登录访问资源。OAuth2.0原理可能比较陌生,但平时用的却很多,比如访问某网站想留言又...
OAuth2.0授权系统实现单点登录
01-13
实现OAuth2授权,并且实现单点登录的小例子,请使用vs2015打开
spring security + oauth 2.0 实现单点登录、认证授权
06-26
spring security + oauth 2.0 实现单点登录、认证授权,直接贴代码
oauth2.0单点登录
weixin_40482816的博客
02-26 1万+
1、什么是 OAuth2.0 OAuth 是一个开放标准,该标准允许用户让第三方应用访问该用户在某一网站上存储的私密资源(如头像、照片、视频等),而在这个过程中无需将用户名和密码提供给第三方应用。实现这一功能是通过提供一个令牌(token),而不是用户名和密码来访问他们存放在特定服务提供者的数据。采用令牌(token)的方式可以让用户灵活的对第三方应用授权或者收回权限。 OAuth2.0OAuth 协议的下一版本,但不向下兼容 OAuth 1.0。传统的 Web 开发登录认证一般都是基于 sess
SSO 单点登录OAuth2.0 有何区别
qq_43842093的博客
04-07 1232
此方法的缺点是它依赖于浏览器和会话状态,对于分布式或者微服务系统而言,可能需要在服务端做会话共享,但是服务端会话共享效率比较低,这不是一个好的方案。在单点登录的上下文中,OAuth 可以用作一个中介,用户在一个“授权服务器”上登录,并获得一个访问令牌,该令牌可以用于访问其他“资源服务器”上的资源。首先,SSO 主要关注用户在多个应用程序和服务之间的无缝切换和保持登录状态的问题。这种方法通过将登录认证和业务系统分离,使用独立的登录中心,实现了在登录中心登录后,所有相关的业务系统都能免登录访问资源。
OAuth2.0 实现单点登录
热门推荐
qq15035899256的博客
03-17 2万+
本文是对OAuth2.0的学习,了解了它的4种授权方式,学会了如何搭建验证服务器,使用 postman对四种模式作了接口测试。并且学会了资源服务器实现单点登录的两种方式,也成功解决了远程调用时没有携带 token 的问题。最后也学会了使用 JWT 存储 Token,大大提高了安全性。
OAuth2.0实现单点登录
GSON的博客
06-11 3091
在一开始的时候,应用服务器(客户端通过访问自己的应用服务器来进而访问其他服务)和验证服务器之间会共享一个 secret,这个东西没有其他人知道,而验证服务器在用户验证完成之后,会返回一个授权码,应用服务器最后将授权码和 secret 一起交给验证服务器进行验证,并且 Token 也是在服务端之间传递,不会直接给到客户端。首先用户访问页面时,会重定向到认证服务器,接着认证服务器给用户一个认证页面,等待用户授权,用户填写信息完成授权后,认证服务器返回 Token。
SSO 单点登录OAuth2.0 区别
03-22 909
在微服务时代,用户需要在多个应用程序和服务之间进行无缝切换,同时保持其登录状态。我们可以通过单点登录(SSO)或者 OAuth2.0 等身份验证和授权协议来实现这一目标。
OAuth2.0 实现单点登录(四种授权方式)
qq_52066082的博客
03-30 2861
OAuth2.0 实现单点登录(四种授权方式)
微信网页第三方登录详解:OAuth2.0授权与流程
微信网页第三方登录原理详解深入剖析了微信网页与第三方应用之间的集成方式,主要依赖于OAuth2.0协议。微信提供了两个主要平台:公众平台和开放平台,它们各有不同的服务对象和功能。 1. **公众平台**:主要针对...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值