1. JSON Web Token (JWT)
JWT 是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。
1.1 使用场景
- Authorization (授权) : 这是使用JWT的最常见场景。一旦用户登录,后续每个请求都将包含JWT,允许用户访问该令牌允许的路由、服务和资源。单点登录是现在广泛使用的JWT的一个特性,因为它的开销很小,并且可以轻松地跨域使用。
- Information Exchange (信息交换) : 对于安全的在各方之间传输信息而言,JSON Web Tokens无疑是一种很好的方式。因为JWTs可以被签名,例如,用公钥/私钥对,你可以确定发送人就是它们所说的那个人。另外,由于签名是使用头和有效负载计算的,您还可以验证内容没有被篡改。
2. SSO 单点登录
背景:
本质原因: HTTP协议是无状态的!
直接原因:WEB的发展由单系统发展成为如今由多系统组成的应用群,系统的复杂性应该由系统内部承担,而不是用户来承担。为了解决登录每个系统都要重新登录的繁琐性问题,使不同系统之间的账号信息实现互通授权,登录其中一个系统,就可以直接登录到其他系统。
Tips - 1 : UDP是无连接的,是相对于TCP协议的,TCP协议通过三次握手保证连接,UDP没有这种确认连接的机制。
Tips - 2 : HTTP 协议是无状态的,HTTP通过TCP建立一个从客户端到服务端的通道,请求结束后,HTTP协议会断开这个连接,成为无连接的(短连接)(Keep-Alive 可以保持长连接,但也不能改变HTTP协议无状态的现实,每次请求完成后,不会记录任何信息)。
Tips - 3 : Cookie 可以保持登录信息到用户下次与服务器的会话,Cookie保存在客户端。
Tips - 4 : Session将会话信息保存在服务器上, 客户端访问服务器时,服务器根据需求设置 Session,同时将标示 Session 的 SessionId 传递给客户端浏览器,浏览器将这个 SessionId 保存在内存中,以后浏览器每次请求都会额外加上这个参数值,服务器会根据这个 SessionId,就能取得客户端的数据信息。
单点登录
在多个应用系统中,只需要登录一次,就可以访问其他相互信任的应用系统以及资源。若用户在某个应用系统中进行注销登录,所有的应用系统都不能再直接访问保护资源,像一些知名的大型网站,如:淘宝与天猫之间、新浪微博与新浪博客之间等都用到了这个技术。
相比于单系统登录,sso需要一个独立的认证中心,只有认证中心能接受用户的用户名密码等安全信息,其他系统不提供登录入口,只接受认证中心的间接授权。间接授权通过令牌实现,sso认证中心验证用户的用户名密码没问题,创建授权令牌,在接下来的跳转过程中,授权令牌作为参数发送给各个子系统,子系统拿到令牌,即得到了授权,可以借此创建局部会话,局部会话登录方式与单系统的登录方式相同。这个过程,也就是单点登录的原理
用户登录成功之后,会与sso认证中心及各个子系统建立会话,用户与sso认证中心建立的会话称为全局会话,用户与各个子系统建立的会话称为局部会话,局部会话建立之后,用户访问子系统受保护资源将不再通过sso认证中心,全局会话与局部会话有如下约束关系:
- 局部会话存在,全局会话一定存在
- 全局会话存在,局部会话不一定存在
- 全局会话销毁,局部会话必须销毁
单点注销
sso认证中心一直监听全局会话的状态,一旦全局会话销毁,监听器将通知所有注册系统执行注销操作。
单点登录涉及sso认证中心与众子系统,子系统与sso认证中心需要通信以交换令牌、校验令牌及发起注销请求,因而子系统必须集成sso的客户端,sso认证中心则是sso服务端,整个单点登录过程实质是sso客户端与服务端通信的过程,用下图描述:
1021
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
