使用 OAuth 2.0 实现单点登录(SSO)

已于 2025-01-09 15:44:35 修改
阅读量1.4k 收藏 9
点赞数 19
文章标签: java oauth2
于 2025-01-09 13:48:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a309220728/article/details/145031873
版权

使用 OAuth 2.0 实现单点登录(SSO)时,多个子应用共享同一登录状态,可以通过以下方式实现

场景背景

  • 平台统一认证服务器(IdP):如 auth.example.com
  • 子应用 A 和 B:如 appA.example.comappB.example.com
  • 目标:用户在子应用 A 登录后,在同一浏览器中访问子应用 B 时,无需重新登录。

使用 OAuth 2.0 的模式

授权码模式(Authorization Code Grant) 是最适合此场景,因为:

  1. 支持前后端分离: Token 不直接暴露在浏览器中,安全性高。
  2. 适合浏览器登录场景: 子应用 A 和 B 都可以通过重定向完成授权。
  3. 支持 SSO: 登录状态通过浏览器的 Cookie 在认证服务器(IdP)共享。

完整流程

以下是基于授权码模式的 SSO 实现流程:

1. 用户访问子应用 A
  • 场景:用户首次访问 appA.example.com
  • 行为
    1. 子应用 A 检查用户是否已登录(通过存储在浏览器的 Cookie 或 Token)。
    2. 如果未登录,子应用 A 重定向用户到统一的认证服务器(auth.example.com),并附带以下参数:
      GET https://auth.example.com/oauth/authorize
?response_type=code
&client_id=appA
&redirect_uri=https://appA.example.com/callback
&scope=read_profile
&state=random_string_for_csrf_protection
      • response_type=code:请求授权码。
      • client_id=appA:标识子应用 A。
      • redirect_uri:授权后跳转的 URL。
      • scope:请求访问的权限范围。
      • state:防止 CSRF 攻击的随机字符串。
2. 用户登录
  • 场景:用户在认证服务器 auth.example.com 上完成登录。
  • 行为
    1. 用户输入用户名和密码。
    2. 认证服务器验证成功后,在其域(auth.example.com)设置一个浏览器会话 Cookie,用于维护登录状态。
      • 这个 Cookie 是 HttpOnly、Secure 的,绑定到 auth.example.com,确保安全。
3. 子应用 A 获取 Access Token
  • 场景:用户登录后,认证服务器返回授权码给子应用 A。
  • 行为
    1. 认证服务器通过浏览器重定向用户到子应用 A 的回调地址:
      https://appA.example.com/callback?code=auth_code&state=random_string
    2. 子应用 A 后端使用授权码(auth_code)向认证服务器请求 Access Token:
      POST https://auth.example.com/oauth/token
Content-Type: application/x-www-form-urlencoded

grant_type=authorization_code
code=auth_code
redirect_uri=https://appA.example.com/callback
client_id=appA
client_secret=appA_secret
    3. 认证服务器验证后,返回 Access Token 和 ID Token:
      {
  "access_token": "access_token_value",
  "id_token": "id_token_value",
  "expires_in": 3600,
  "token_type": "Bearer"
}
    4. 子应用 A 将 Access Token 存储在用户的浏览器(如 Cookie 或 Local Storage),以便后续 API 调用。
4. 用户访问子应用 B
  • 场景:用户在同一浏览器中访问 appB.example.com
  • 行为
    1. 子应用 B 检查用户是否已登录(本地无 Token)。
    2. 子应用 B 重定向用户到认证服务器的授权页面(流程类似子应用 A 的初始登录):
      GET https://auth.example.com/oauth/authorize
?response_type=code
&client_id=appB
&redirect_uri=https://appB.example.com/callback
&scope=read_profile
&state=random_string_for_csrf_protection
5. 认证服务器检测登录状态
  • 场景:用户已登录认证服务器。
  • 行为
    1. 认证服务器检查用户在其域的会话 Cookie,发现用户已登录,无需再次输入用户名和密码。
    2. 认证服务器直接生成授权码,并重定向用户回子应用 B:
      https://appB.example.com/callback?code=auth_code_for_appB&state=random_string
6. 子应用 B 获取 Access Token
  • 场景:子应用 B 使用授权码向认证服务器换取 Token。
  • 行为
    1. 后端请求 Access Token:
      POST https://auth.example.com/oauth/token
Content-Type: application/x-www-form-urlencoded

grant_type=authorization_code
code=auth_code_for_appB
redirect_uri=https://appB.example.com/callback
client_id=appB
client_secret=appB_secret
    2. 认证服务器返回 Token,子应用 B 存储并使用该 Token。
7. 用户已在子应用 B 登录
  • 子应用 B 使用 Token 访问受保护的资源(如用户信息 API)。
  • 用户感知为“无缝登录”。

关键技术点

  1. 共享会话依赖于认证服务器的 Cookie

    • 认证服务器(IdP)的会话 Cookie 是跨子应用 SSO 的核心。
    • 只要用户的浏览器在认证服务器域(auth.example.com)中有有效 Cookie,认证服务器即可快速判断用户登录状态。

  2. Token 隔离:

    • 子应用 A 和 B 使用各自的 Client ID 和 Secret,Token 互不影响。
    • 每个子应用的 Token 只对其自身有效,提升安全性。

  3. 安全措施:

    • 使用 state 防止 CSRF 攻击。
    • Token 存储和传输时加密。
    • 确保所有通信使用 HTTPS。

总结流程图

  1. 用户访问子应用 A → 未登录 → 跳转到认证服务器。
  2. 用户登录认证服务器 → 设置会话 Cookie。
  3. 认证服务器生成授权码 → 子应用 A 换取 Token。
  4. 用户访问子应用 B → 检测认证服务器会话 → SSO 无缝登录。

优点

  • 标准化(OAuth 2.0 授权码模式)。
  • 安全性高,防止 Token 泄露。
  • 子应用独立授权,隔离性好。
  • 无缝登录,提升用户体验。

适用场景

  • 适用于 SaaS 平台中多个子应用的单点登录场景。
  • 适合 Web 浏览器中用户操作的典型 SSO 场景。
OAuth2.0实现单点登录
GSON的博客
06-11 5368
在一开始的时候,应用服务器(客户端通过访问自己的应用服务器来进而访问其他服务)和验证服务器之间会共享一个 secret,这个东西没有其他人知道,而验证服务器在用户验证完成之后,会返回一个授权码,应用服务器最后将授权码和 secret 一起交给验证服务器进行验证,并且 Token 也是在服务端之间传递,不会直接给到客户端。首先用户访问页面时,会重定向到认证服务器,接着认证服务器给用户一个认证页面,等待用户授权,用户填写信息完成授权后,认证服务器返回 Token。
spring security + oauth 2.0 实现单点登录、认证授权
06-26
spring security + oauth 2.0 实现单点登录、认证授权,直接贴代码
系统设计面试总结:4、单点登录SSO的概念、优势、OAuth2.0、具体实现(含时序图和跨域登录/登出的解决方案)
shanshan的博客
03-07 964
本文仅供自学回顾,请支持javaGuide原版书籍。
单点登录&OAuth2.0
最新发布
skylar2的博客
04-02 272
在多系统共存环境下,一个系统登录后,其他系统无需登录;即一处登录后获得所有系统信任。全局独一份内容,比如是否登录存中央session中;个性信息存在自己的服务中。说明:此处代码实现分别存储session的sso。多设备指手机、笔记本、电脑等,需要分别登录。负载均衡、熔断限流、来源验证 // 最好网关做。鉴权:是合法用户的你有哪些权限。
大白话唠唠 Oauth2 与授权认证的那些事儿!
石杉的架构笔记
11-26 1536
我的新课《C2C 电商系统微服务架构120天实战训练营》在公众号儒猿技术窝上线了,感兴趣的同学,可以长按扫描下方二维码了解课程详情:课程大纲请参见文末出处:https://kefeng....
OAuth2.0 实现单点登录
热门推荐
qq15035899256的博客
03-17 3万+
本文是对OAuth2.0的学习,了解了它的4种授权方式,学会了如何搭建验证服务器,使用 postman对四种模式作了接口测试。并且学会了资源服务器实现单点登录的两种方式,也成功解决了远程调用时没有携带 token 的问题。最后也学会了使用 JWT 存储 Token,大大提高了安全性。
oauth2.0单点登录
weixin_40482816的博客
02-26 1万+
1、什么是 OAuth2.0 OAuth 是一个开放标准,该标准允许用户让第三方应用访问该用户在某一网站上存储的私密资源(如头像、照片、视频等),而在这个过程中无需将用户名和密码提供给第三方应用。实现这一功能是通过提供一个令牌(token),而不是用户名和密码来访问他们存放在特定服务提供者的数据。采用令牌(token)的方式可以让用户灵活的对第三方应用授权或者收回权限。 OAuth2.0OAuth 协议的下一版本,但不向下兼容 OAuth 1.0。传统的 Web 开发登录认证一般都是基于 sess
OAuth2.0 SSO单点登录
随风why
11-02 799
单点登录
java oauth2登录以及权限_OAuth2实现单点登录SSO
weixin_39936086的博客
11-26 853
1. 前言技术这东西吧,看别人写的好像很简单似的,到自己去写的时候就各种问题,“一看就会,一做就错”。网上关于实现SSO的文章一大堆,但是当你真的照着写的时候就会发现根本不是那么回事儿,简直让人抓狂,尤其是对于我这样的菜鸟。几经曲折,终于搞定了,决定记录下来,以便后续查看。先来看一下效果2. 准备2.1. 单点登录最常见的例子是,我们打开淘宝APP,首页就会有天猫、聚划算等服务的链接,当你点击以后...
OAuth2.0 实现单点登录(四种授权方式)
qq_52066082的博客
03-30 4704
OAuth2.0 实现单点登录(四种授权方式)
spring security 基于oauth 2.0 实现 sso 单点登录Demo.zip
06-12
spring security 基于oauth 2.0 实现 sso 单点登录Demo 使用 spring security 基于oauth 2.0 实现 sso 单点登录Demo spring boot + spring security + spring security oauth
OAuth2.0授权系统实现单点登录
01-13
实现OAuth2授权,并且实现单点登录的小例子,请使用vs2015打开
基于oauth2+security实现SSO单点登录案例
10-14
基于spring security oauth2 实现SSO单点登录案例,本案例非常完整,值得用于参考学习spring+security+oauth2
模拟OAuth2 单点登录
09-05
模拟OAuth2 单点登录java代码实现。模拟OAuth2 单点登录java代码实现。模拟OAuth2 单点登录java代码实现。模拟OAuth2 单点登录java代码实现
帝国cms oauth2.0 单点登录sso
04-28
在这个“帝国cms oauth2.0 单点登录sso”项目中,开发者可能已经实现了以下功能: - 配置帝国CMS作为认证服务器,支持OAuth2.0授权流程。 - 设计并实现了一个接口,允许其他应用与帝国CMS进行交互,获取和验证令牌...
java oauth2.0单点登录_Oauth2.0 实现SSO单点登陆
weixin_35085438的博客
03-04 1253
简介首先声明本文章是在不要乱摸基础上进行部分修改,思路和核心代码未做调整,写本片文章主要是为了加深自己的单点登陆的印象,巩固自己小小的知识面,所以将实现的过程记录下来。话不多说,一个字:干服务架构image.pngauthentication-center 授权服务oauth2-sso-client-member 用户管理服务oauth2-sso-client-order 订单服务数据库/*SET...
java oauth2.0单点登录_基于spring-security-oauth2实现单点登录(持续更新)
weixin_39711721的博客
02-17 1476
基于spring-security-oauth2-实现单点登录文章代码地址:链接描述可以下载直接运行,基于springboot2.1.5,springcloud Greenwich版本实现。前面两篇写了认证oauth2通过内存还有jdbc实现认证中心。接下来我们采用oauth2实现管理系统的单点登录。说到这里,需要介绍几个注解:@EnableAuthorizationServer 该注解用来开启...
OAuth 2 实现单点登录,通俗易懂!
程序员高级码农的博客
02-20 4750
与常规服务架构不同,在微服务架构中,Authorization Server/Resource Server 是作为微服务存在的,用户的登录可以通过API网关一次性完成,无需与无法跳转至内网的 Authorization Server 来完成。(6)张三再次来到“授权信开具处”,出示身份证明信和档案局A的标识,该处从私用数据库中查得,张三的官职是市长级别(角色),该官职具有档案局A的查询权限,就开具“允许张三查询档案局A”的授权信():以“档案局ID/密码”标识,是掌握档案资源的机构。
OAuth2.0 SSO授权
bao_bei_li_yue的博客
07-30 514
一、OAuth2.0授权协议   一种安全的登陆协议,用户提交的账户密码不提交到本APP,而是提交到授权服务器,待服务器确认后,返回本APP一个访问令牌,本APP即可用该访问令牌访问资源服务器的资源。由于用户的账号密码并不与本APP直接交互,而是与官方服务器交互,因而它是安全的。 图示: 流程:   1、获取未授权的Request Token。     url
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

IT界的奇葩

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值