单点登录:SAML、OAuth2、OIDC 的区别与联系

最新推荐文章于 2024-05-11 18:06:26 发布
最新推荐文章于 2024-05-11 18:06:26 发布
阅读量1.4k 收藏 21
点赞数 29
分类专栏: CISSP 文章标签: SSO 单点登录 OAuth2 SAML OIDC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lvlht/article/details/138154369
版权

文章目录

概要

首先,我们概况一下什么是单点登录:
单点登录(SSO)是一种集中式访问控制技术,允许主体在系统上进行单次身份认证并访问多个资源,而不必再次进行身份认证。

登录一定会涉及的两个概念:

  • 认证:验证主体身份的有效性,其中主体不仅单指用户,也会涉及对设备、服务的验证。
  • 授权:授予主体客体的权限信息,主体是活动的,客体是被动的,两者的关系处于流动的状态,取决于不同的业务场景。

单点登录的优势在于用户友好,方便,以及安全性高,用户不需要记住多个用户名和口令(用户往往会将其记录到纸上或文档中,造成泄露)。

单点登录的主要缺点是,攻击者一旦侵入账号,即可对所有授权资源的应用程序无限制访问。

单点登录架构流程

  1. Client(用户)在浏览器页面上请求Application Server(应用服务)
  2. Service Loader 发现未登录,重定向到 Authentication Server(认证服务),并携带当前Application Server的重定向地址、应用标识等信息
  3. Client 浏览器的页面重定向到 Authentication Server
  4. Authentication Server发现未登录,显示登录页面
  5. Client 输入认证信息
  6. Authentication Server对认证信息校验,如果认证成功则生成对应的cookie信息返回至浏览器,
  7. Authentication Server同时重定向到步骤2中携带的Application Server重定向地址,并携带一个ticket信息。
  8. Application Server会用ticket再次请求Authentication Server,如果校验通过,则获取到合法的用户信息。
  9. Application Server生成当前服务的cookie信息返回至浏览器,并提供服务。
  10. 后续Client请求其他Application Server,会跳过步骤4、5,6,从而实现单点登录的效果。

所以,我们可以看出单点登录最重要的因素在于Authentication Server(认证服务)的全局会话。同时为了安全性,Authentication Server也会对认证的应用进行安全校验、对ticket进行时间和使用次数的校验。进一步的,同一个Client在不同Application Server可能也有不同的权限,这时候Authentication Server就需要包含Authorization Server(授权服务)功能。

SAML

SAML协议全称为Security Assertion Markup Language,它是一个基于XML的标准协议。SAML标准定义了身份提供者(Identity Provider)和服务提供者(Service Provider)之间,如何通过SAML规范,采用加密和签名的方式来建立互信,从而交换用户身份信息。

其中,Service Provider可以理解上面单点登录流程中的Application Server,Identity Provider则为Authentication Server。
SAML与上面单点登录流程可能不同的地方有:

  • Identity Provider认证用户信息通过后,会通过加密和签名的方式将用户信息直接返回Service Provider。这也要求两者之间要互换证书来建立互信。
  • SAML协议特别复杂、在使用中一些细节会给使用者带来困扰。
  • SAML协议传递的数据是加密后的XML数据。

OAuth2

OAuth2其实是一个Authorization Server(授权服务),当然也包含了基础的Authentication Server(认证服务)。它是为了解决同一个用户在不同Application Server之间的权限请求控制问题。

在OAuth 2.0的协议交互中,有四个角色的定义:

  • 资源所有者(Resource Owner):拥有资源的所有权,可以解决应用程序(Client)能否访问资源服务器(Resource Server)。
  • 资源服务器(Resource Server):保存着受保护的用户资源。
  • 应用程序(Client):需要访问用户资源的应用程序。
  • 授权服务器(Authorization Server):授权服务器,在获取用户的同意授权后,颁发访问令牌给应用程序,以便其获取用户资源。

举个例子,我登录CSDN的时候,有个选项是是否使用微信登录,如果使用微信登录,就会从微信服务获取用户信息并登录。这时候,资源所有者就是我,资源服务器是微信,授权服务器也是微信,应用程序就是CSDN。

OAuth 2.0定义了四种授权方式。

  • 授权码模式(authorization code)
  • 简化模式(implicit)
  • 密码模式(resource owner password credentials)
  • 客户端模式(client credentials)

这里以授权码模式为例:

  1. 如果我选了使用微信登录,那么CSDN就会如单点登录流程步骤2中所示,跳转到微信页面,同时携带CSDN的重定向地址、应用标识等信息;
  2. 作为资源所有者的我选择是否给予CSDN授权;
  3. 如果选择授权,微信就会如单点登录流程步骤7一样,重定向到CSDN页面,同时携带一个authorization code(作用和ticket一样)和重定向URI;
  4. CSDN收到授权码,在请求中携带授权码和重定向URI向微信申请令牌;
  5. 微信核对了授权码和重定向URI,确认无误后,向CSDN送访问令牌(access token)和更新令牌(refresh token)。

OIDC

OIDC是OAuth2.0的超集,可以理解为OIDC=身份认证+OAuth2.0。

OIDC中的一些关键角色:

  • EU, End User的缩写,指的是一个最终用户,可以理解为OAuth2中的资源所有者。
  • RP, Relying Party的缩写,指的是身份认证和授权信息的消费方,可以理解为OAuth2中的Client。
  • OP, OpenID Provider的缩写,指的是有能力提供EU认证的服务,可以理解为OAuth2中的授权服务,用来为RP提供EU的身份认证信息。

OIDC的核心在于授权过程中,一并提供用户的身份认证信息ID-Token(使用JWT来包装)给到第三方客户端,OP通常还提供了GetUserInfo的接口,用于获取用户更完整的信息。

这样不同的RP就可以基于ID Token来认证是不是同一个用户。

小结

SAML、OAuth2、OIDC的联系:

  • 所有这三个协议都是为了解决身份认证和授权的问题。
  • 它们都需要一个中央的身份提供者,这个提供者负责验证用户的身份,并将身份信息提供给需要的应用。
  • 它们都使用了一种或多种方式来保护用户的数据,包括加密和签名。

SAML、OAuth2、OIDC的区别:

  • SAML主要用于单点登录,而OAuth2和OIDC主要用于授权和身份认证。
  • OAuth2更注重于授权,而OIDC在OAuth2的基础上增加了身份认证的功能。
  • SAML和OIDC都会直接返回用户的身份信息,而OAuth2只返回了一个可以获取用户信息的令牌。
ding_haitao
关注
  • 29
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
别再搞错!OAuth 2.0只是授权协议,OIDC才是认证授权协议
程序猿DD
07-21 1157
上一文我们对Keycloak保护Spring Boot应用进行了实操。让大家见识到了Keycloak的强大。为了掌握Keycloak就必须对OpenID Connect(OIDC)协议进行...
基于SAML 2.0 SSO单点登录
01-23
基于SAML 2.0 SSO单点登录,包括VS2005,VS2008,VS2010。有部分Java代码。含文档。 client发送saml请求---sso响应验证client是否可信任---可信响应saml----加密saml---发送到client---client解密成功--验证信息是否有效----有效----登录成功
OIDCOAuth2.0学习
一个写了10年bug的程序员日常笔记。
05-11 869
OpenID Connect (OIDC) 和 OAuth 2.0 是两种不同的协议,它们通常一起使用,但服务于不同的目的。下面是它们的。
【授权与认证】OAuth 2.0 和 OIDC 的异同点
叮当猫的喵i
01-30 2893
OIDC 协议定义的名词和 OAuth 2.0 协议定义的稍微有些出入:OpenID Provider ,简称 OP :相当于 OAuth 2.0 中的授权服务器,除了负责颁发 Access Token ,还会颁发 ID Token。例如 IDaaS 就是一个 OP。Relying Party ,简称 RP :代指 OAuth 2.0 中的客户端。End User ,简称 EU :即用户。最后, OIDC 的授权流程与 OAuth 2.0 是一样的,
基于SAML单点登录系统的研究与实现
03-01
论文中介绍了SSO单点登录的相关概念,各种实现方式,及通过SAML标准来实现的具体思路、方法。是网上不可多得的中文介绍材料!
单点登录saml
04-10
aml是一种xml格式的语言。 翻译过来大概叫 安全断言(标记)语言。 这里有两个点: 第一是“安全”, 第二是“断言(assertion)”。 用人话翻译saml就是 用安全的方式表达断言一种语言。 先看它的核心概念“断言”。 断言是什么? 就是做出判断的语言。比如一句话: 小明是超级管理员。 这就是一个断言。再来一个例子:小红没有权限读取根目录。这也是一个断言。 这种“做出判断的语句”我们在很多场合都需要用到。 比如你在网上尝试登陆一个服务的时候, 这个服务需要知道你是不是合法的用户。 这个时候如果你能提供一个“安全,可靠,可信任”的断言:“小明有权登陆XX服务”, 那么这个服务就知道你合法了, 于是就能为你提供服务了。 这个例子比较抽象,但基本上能表达断言在实际用例中的作用了。 实际上saml的大部分用例就在于证明你是谁,你拥有什么权限等等了。 saml中大部分主要内容也都是类似于:你是谁, 你有什么。。等等这些简单的语句。 详细内容后面会介绍。 接下来第二个概念就是“安全”了。 你能提供一个断言, 别人能不能假冒你提供一个断言从而骗取服务端的信任呢? 另外服务端为什么会信任你给的断言呢? 这就涉及到安全的问题了。为了防止断言被假冒,篡改。saml中加入了安全措施。 当然现今能抵御假冒,篡改,重放攻击的利器就是公钥-私钥系统了。 通过给断言加上签名和加密,再结合数字证书系统就确保了saml不受攻击。
[OIDC&&Oauth2 ] 理解Oauth2授权框架
zh_coder
01-14 7612
一.  什么是Oauth2授权框架?   Oauth2是一种通用的开放式的面向个人(即用户)网络授权方案,它的前身是Oauth1。但是由于Oauth1设计复杂,易用性差,所以Oauth2与Oauth1并不兼容。 二. Oauth2.0的应用场景        我们拿csdn登录来举个栗子,来看csdn的登录页面下方:                  其
基于python的统一身份认证授权管理解决方案,支持多种标准协议(LDAP, OAuth2, SAML, OpenID)
08-30
SAML常用于企业级单点登录SSO)系统,让用户在访问多个关联应用时只需登录一次。 4. OpenID:这是一个开放的标准,允许用户使用一个中央身份提供商来登录到多个网站,避免了在每个网站上创建和管理独立账户的麻烦...
eiam-master.zip
12-21
它集成了OAuth2.x、OpenID Connect (OIDC)、Security Assertion Markup Language (SAML) 2.0等多种身份验证和授权标准,旨在提供统一认证、单点登录(Single Sign-On, SSO)以及全面的用户生命周期管理功能,为企业...
sso单点登录服务端程序
01-02
SSO(Single Sign-On)单点登录是一种身份验证机制,允许用户通过一次登录操作访问多个相互关联的应用系统,而无需多次输入凭证。这种技术在现代企业信息化建设中扮演着重要角色,因为它提高了用户体验,同时也简化...
cas-server:单点登录服务端
05-02
单点登录是企业业务整合比较流行解决方案,像多个系统使用同一个用户数据库的,并且这些系统需要相互信任时,此时使用单点登陆(SSO)是比较合适的。 #cas简介 CAS 是Yale(耶鲁)大学的一个开源的企业级单点登录系统...
基于SpringBoot3开源IDaas/IAM平台,支持OAuth2.x、OIDCSAML2.0、CAS等SSO标准协议
最新发布
07-07
基于 SpringBoot3 开源IDaas/IAM平台,支持OAuth2.x、OIDCSAML2.0、JWT、CAS等SSO标准协议,实现用户全生命周期的管理、统一认证和单点登录。简洁、轻量、设计良好。多数据库支持。多种格式文档。灵活扩展。支持...
02. 全网最权威!!!一文带你深入浅出理解:OAuth 2 和 OIDC 究竟是什么各自又究竟在解决什么问题
weixin_45946850的博客
05-07 406
这一小节总览全局向你介绍了OAuth 2和OIDC技术,我将在后面的小节与你讨论关于OAuth 2和OIDC的绝大多数细节。你现在在第零关的最后一个部分,下一节开始我们将正式开始探索OAuth的世界线。万丈高楼平地起,请保持耐心。再一次,这是一门从零开始的OAuth 2和OIDC的实战课,如果你已经对某一部分的内容较为熟悉,你可以跳过这一关卡直接探索下一关卡或你感兴趣的关卡!
OAuth2.0和OIDC详解
乌龟的专栏
03-13 662
OAuth2.0和OIDC详解
【分布式技术专题】「单点登录技术架构」一文带领你好好认识以下Saml协议的运作机制和流程模式
世界上并没有完美的程序,但是我们并不因此而沮丧,因为写程序就是一个不断追求完美的过程。
04-10 7688
如果您的应用程序是以多租户方式设置的,并且在URL中包含域信息(例如,使用https://domain1.example.com或https://www.example.com/domain1),),则每个子域都有一个ACSURL端点可能是个不错的选择,因为URL本身可以标识该域。通常,在用户通过身份验证后,浏览器将转到SP中的通用登录页。即使在目的是让特定租户的所有用户都启用SAML的情况下,在概念验证、测试和推出期间只启用部分用户,以便在对所有用户启用之前测试较小的用户子集的身份验证,也可能是有用的。
基于SAML单点登录/登出基本原理
cqwei1987的博客
07-02 3652
本文简单介绍了基于SAML单点登录系统
okta/sf平台实现saml2.0单点登录集成实战(详细步骤+完整代码)
bigbearxyz的博客
06-06 3716
步骤详细的完全实战文章,基于Springboot+SpringSecurity+Saml2.0实现单点登录
开发者谈 | OAuth 2.0 和 OIDC 协议的关系?(内含必看案例)
Authing的博客
08-17 1675
撰稿人:Authing 开发者 寻寻觅觅的 Gopher还记得那个吃披萨的例子吗?《5000 字干货 | IDaaS 身份即服务背后的基石》一文中阐述了 SaaS,PaaS,IaaS 三者的区别。IDaaS 实际上就是一个基于 SaaS 模式的 IAM 解决方案,也就是云上的身份和访问管理服务,完全由受信任的第三方云服务厂商托管和管理。它允许企业使用单点登录、身份验证和访问控制来提供对任意接入的已实现标准协议应用的安全访问。而 IDaaS 背后,有两个支撑着其和和协议。...
深入浅出单点登录---3、基于SAML实现的统一认证
热门推荐
u014526891的博客
03-14 1万+
概述 SAML 2.0 用来在安全域中交换身份验证(Authentication)数据和 授权(Authorization)数据。SAML 2.0基于 XML协议,使用包含断言(Assertions)的安全令牌在SAML授权方(即身份提供者IdP)和SAML消费方(即服务 提供者SP)之间传递委托人(终端用户)的信息。 SAML 2.0 可以实现基于网络跨域的单点登录(SSO), 以便于减少向一个用户分发多个身份验证令牌的管理开销。 什么是断言 断言是一个包含了由SAML授权方提供的0到多个声明(state
saml单点登录项目模板网站
05-29
如果你想快速实现 SAML 单点登录协议,可以使用一些现成的 SAML 单点登录项目模板网站,例如: 1. Spring Security SAML:Spring Security SAML 是一个基于 Spring Framework 的 SAML 单点登录项目模板网站,提供了一些示例代码和配置文件,可以快速集成到现有的 Spring 应用程序中。 2. SimpleSAMLphp:SimpleSAMLphp 是一个开源的 SAML 单点登录项目模板网站,提供了一个 PHP 实现的 SAML 2.0 IdP 和 SP,可以快速部署和配置。 3. Shibboleth:Shibboleth 是一个开源的 SAML 单点登录项目模板网站,提供了一个 Java 实现的 SAML 2.0 IdP 和 SP,可以快速部署和配置。 4. Gluu:Gluu 是一个基于 OpenID Connect 和 SAML 的身份和访问管理平台,提供了一个 SAML 单点登录项目模板网站,可以快速部署和配置。 这些 SAML 单点登录项目模板网站都提供了一些示例代码和详细的文档,可以帮助开发人员快速实现 SAML 单点登录协议。但是需要注意的是,这些项目模板网站都需要一定的技术和安全知识,建议在实现之前进行充分的了解和准备。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值