单点登录SSO与OAuth2 方案

最新推荐文章于 2024-05-20 22:13:20 发布
最新推荐文章于 2024-05-20 22:13:20 发布
阅读量1.7k 收藏 9
点赞数 1
文章标签: java 网络 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/q1009020096/article/details/125365816
版权

1. SSO与OAuth2

单点登录系统 Single sign-on (SSO) : 简单来说也就是一个在登录一个系统后不需要在重复登录其他系统的一种设计思想,其中较为著名的实现时CAS系统

OAuth2:是一个开放标准,该标准约束了一种用户让第三应用访问用户在某一个应用中的资源而无需提供用户名和密码的方式,简单来说就是一个3方应用认证和访问用户资源的一种较为规范的流程方法。

SSO 与 OAuth2没有什么可比性,SSO是一种设计思想,OAuth2是一种具体资源认证授权的协议。

我们可以设计一种机制,来实现单点登录系统,采用OAuth2协议来做用户身份认证。

2. 融合

单点登录的设计思想如下所示:
在这里插入图片描述
简单来说就是用一个账号登录可以登录访问所有对接的系统,用户在认证进入单点登录系统后访问其他应用不需要再次认证。

OAuth2的授权码 授权码模式,提供了一种较为安全的访问用户资源的方式,该方式需要从被登录系统中通过连接跳转到登录系统,然后通过认证和授权,再有应用系统通过Token获取用户信息,若对OAuth不熟悉的可以参考 《理解OAuth 2.0 阮一峰》

RFC6749 

1.2.  Protocol Flow

     +--------+                               +---------------+
     |        |--(A)- Authorization Request ->|   Resource    |
     |        |                               |     Owner     |
     |        |<-(B)-- Authorization Grant ---|               |
     |        |                               +---------------+
     |        |
     |        |                               +---------------+
     |        |--(C)-- Authorization Grant -->| Authorization |
     | Client |                               |     Server    |
     |        |<-(D)----- Access Token -------|               |
     |        |                               +---------------+
     |        |
     |        |                               +---------------+
     |        |--(E)----- Access Token ------>|    Resource   |
     |        |                               |     Server    |
     |        |<-(F)--- Protected Resource ---|               |
     +--------+                               +---------------+

4.1 Authorization Code Grant

     +----------+
     | Resource |
     |   Owner  |
     |          |
     +----------+
          ^
          |
         (B)
     +----|-----+          Client Identifier      +---------------+
     |         -+----(A)-- & Redirection URI ---->|               |
     |  User-   |                                 | Authorization |
     |  Agent  -+----(B)-- User authenticates --->|     Server    |
     |          |                                 |               |
     |         -+----(C)-- Authorization Code ---<|               |
     +-|----|---+                                 +---------------+
       |    |                                         ^      v
      (A)  (C)                                        |      |
       |    |                                         |      |
       ^    v                                         |      |
     +---------+                                      |      |
     |         |>---(D)-- Authorization Code ---------'      |
     |  Client |          & Redirection URI                  |
     |         |                                             |
     |         |<---(E)----- Access Token -------------------'
     +---------+       (w/ Optional Refresh Token)

通常来说我们会把 认证服务资源服务 整合到一起,若我们把上述过程用时序图绘制出来,效果如下:

在这里插入图片描述

通过OAuth2协议通常来说是虚拟用户先访问目标应用系统的登录页,通过登录页的链接跳转到认证服务器上进行认证授权操作,应用系统在对接系统时只需要提供一个标准的回调接口就可以实现OAuth的对接。

但是这种方式存在一个问题:用户在每访问以个应用都需需要执行OAuth2一整套流程,访问多个系统也就需要在OAuth2认证服务上认证多次。

为了实现单点登录的 登录一次访问所有的设计思想,我们需要对OAuth2部分流程作出一定调整,需求如下:

  1. 用户不再需要只需要登录单点登录服务,不需要单独进入其他应用。
  2. 用户登录后通过单点登录服务页面的连接访问应用,登录期间不需要再次认证。
  3. 应用系统对接单点登录系统只需要按照标准的OAuth2协议对接。

调整后整合了OAuth2的单点登录时序如下:

在这里插入图片描述

  1. 用户登录SSO系统而不是应用系统。
  2. 认证后进入系统列表显示已经对接的应用
  3. 在用户点击应用后,SSO系统根据应用注册提供的回调地址,按照OAuth2协议返回带有授权码的重定向请求。
  4. 浏览器重定向至应用系统的OAuth2标准接口,剩下的流程与OAuth2协议保持一致。

该方案只需要设计好SSO系统的认证、用户会话管理、应用跳转时的301重定向流程,其它与OAuth2保持一致。

过去已经按照OAuth2对接的应用,在这样流程下无序任何调整,新对接的应用系统按照OAuth2协议提供标准的回调接口就可以实现OAuth的对接,由较高的兼容性。

参考文献

[1]. 理解OAuth 2.0 . 阮一峰 . 2014.05 . https://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html
[2]. ietf . RFC6749 The OAuth 2.0 Authorization Framework . 2012.10 . https://datatracker.ietf.org/doc/html/rfc6749#section-4.1

Cliven_
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
springsecurity oauth2.0 集成sso单点登录
congge
11-21 8154
前言 在前两篇中,我们基本上了解springsecurity 的授权码模式和密码模式的工作流程,其实来说,掌握了授权码模式,再基于springsecurity 做单点登录的集成就是一件非常容易的事情 单点登录解释 当我们登录淘宝之后,可以在天猫等其他任意一个应用内进行访问,而不需要二次登录 关于单点登录的业务含义,这里就不再过多做解释了,在之前的博客关于单点登录篇中有较为详细的阐释说明,本篇将直接在springsecurity 认证之授权码模式的基础上进行整合,完整的演示下如何使用springsecuri
SSO 单点登录OAuth2.0 有何区别?
qq_43842093的博客
04-07 1162
此方法的缺点是它依赖于浏览器和会话状态,对于分布式或者微服务系统而言,可能需要在服务端做会话共享,但是服务端会话共享效率比较低,这不是一个好的方案。在单点登录的上下文中,OAuth 可以用作一个中介,用户在一个“授权服务器”上登录,并获得一个访问令牌,该令牌可以用于访问其他“资源服务器”上的资源。首先,SSO 主要关注用户在多个应用程序和服务之间的无缝切换和保持登录状态的问题。这种方法通过将登录认证和业务系统分离,使用独立的登录中心,实现了在登录中心登录后,所有相关的业务系统都能免登录访问资源。
OAuth2.0与SSO比较
liyanlei的专栏
02-07 1806
OAuth2.0与SSO比较_咖啡男孩之SRE之路-CSDN博客_oauth2.0与sso OAuth是Open Authority的缩写,是令牌代替用户密码访问应用的又一标准,前面一期介绍过SSO单点登录(SpringBoot模拟单点登录),也是令牌登陆的一种方式。 OAuth2.0最典型的授权码认证方式: 资源服务器和鉴权服务器都是属于资源所有方,也就是最终的服务提供方,第三接入方需要先与鉴权服务器申请合作获取客户编码。 对于资源服务器来说,需要做的是 1 accessToken和cl
Security OAuth2 SSO单点登录(一)
最新发布
pscool的博客
05-20 1068
文章目录学习链接auth-server引入依赖application.ymlAuthServerConfigSecurityConfigUserControllerlogin.htmlclient1引入依赖application.yml配置文件SecurityConfigClient1ApplicationHaloControllerindex.htmlclient2引入依赖application.yml配置文件SecurityConfigClient2ApplicationHaloControllerin
CAS+OAuth2的SSO认证授权单点登录
weixin_44894143的博客
09-08 4710
0.搭建前环境 1.CAS服务器搭建 2.搭建HTTPS的SSO SERVER 3.生成SSL证书。正式对外的网站,需要购买SSL证书,自己用可以本地生成。 4.连接数据库,以数据库账号密码做登录 5.在CAS Server上增加OAuth2.0协议
两个系统之间跳转免密登录
我的技术博客
06-29 8815
两个系统之间跳转,免密登录
SSOOAuth2有什么不同?
weixin_44432956的博客
03-28 336
认证是关于验证你的凭据,如用户名/邮箱和密码,以验证访问者的身份。系统确定你是否就是你所说的使用凭据。在公共和专用网络中,系统通过登录密码验证用户身份。身份认证通常通过用户名和密码完成,有时与认证可以不仅仅通过密码的形式,也可以通过手机验证码或者生物特征等其他因素授权发生在系统完成身份认证之后,最终会授予你访问资源(如信息,文件,数据库,资金,位置,几乎任何内容)自的完全权限。简单来说,授权决定了你访问系统的能力以及达到的程度。
帝国cms oauth2.0 单点登录sso
04-28
【标题】:“帝国cms oauth2.0 单点登录sso” 在IT行业中,单点登录(Single Sign-On,简称SSO)是一种身份验证机制,它允许用户通过一次登录即可访问多个相互关联的应用系统,无需为每个系统分别进行认证。这里的...
基于oauth2+security实现的SSO单点登录案例
10-14
总的来说,通过实践这个基于Spring Security OAuth2的SSO单点登录案例,你将能够掌握如何在分布式系统中构建安全的单点登录系统,这对于任何需要统一用户管理的大型企业或平台都是非常有价值的。
SSO单点登录解决方案.doc
09-04
SSO(Single Sign-On)单点登录是一种身份验证机制,允许...总的来说,SSO单点登录解决方案是现代企业IT环境中必不可少的组件,它提升了用户便利性,降低了管理成本,加强了安全性,并适应了SOA环境下的服务安全需求。
oauth2 单点登录 认证授权
01-15
OAuth2框架下实现单点登录SSO)通常涉及以下几个关键组件: 1. **资源服务器(Resource Server)**:存储和管理用户资源的应用系统,需要保护这些资源,只允许经过授权的客户端访问。 2. **认证服务器...
OAuth2+ SSO实现单点登录
07-18
OAuth2+ SSO实现单点登录,包括源码 看别人写的代码好像很简单似,到自己写的时候就各种问题,“一看就会,一做就错”。网上关于实现SSO的文章一大堆,但是当你真的照着写的时候就会发现根本不是那么回事儿,简直让人抓狂,尤其是对于我这样的菜鸟。几经曲折,终于搞定了,决定记录下来,以便后续查看
Spring Cloud 集成OAuth2实现身份认证和单点登录
10-20
本文将深入探讨如何在Spring Cloud环境中集成OAuth2以实现身份认证和单点登录。 首先,OAuth2是一个授权框架,它允许第三方应用在用户的许可下访问其私有资源。OAuth2的主要角色包括资源所有者(用户)、客户端(第...
微服务架构下的统一身份认证和授权
weixin_33829657的博客
10-18 6970
为什么80%的码农都做不了架构师?>>> ...
单点登录(shiro与Spring Security OAuth 2.0的集成)
Know Destiny的博客
05-07 3727
单点登录(shiro与Spring Security OAuth 2.0的集成) shiro项目采用ruoyi,OAuth采用pig 若依:https://gitee.com/y_project/RuoYi pig:https://gitee.com/log4j/pig 采用OAuth授权码模式(authorization-code) 1.流程简介: ①:若依配置好以后,点击链接(ip:端口/sso/login)进入pig-auth(统一认证中心) ②:在统一认证中心输入用户名,密码后,点击登录,进入统一
Spring Cloud Security:Oauth2 单点登录
Lyndon的专栏
09-24 2053
Spring Cloud Security:Oauth2实现单点登录
阮一峰:值得分享给开发者的 Authing 身份云
Authing的博客
04-24 2499
文末有福利哦~
基于Spring Security Oauth2的SSO单点登录+JWT权限控制实践
Vermont_的博客
05-05 981
基于Spring Security Oauth2的SSO单点登录+JWT权限控制实践 理论知识 在此之前需要学习和了解一些前置知识包括: Spring Security:基于 Spring实现的 Web系统的认证和权限模块 OAuth2:一个关于授权(authorization)的开放网络标准 单点登录 (SSO):在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统 JWT:在网络应用间传递信息的一种基于 JSON的开放标准((RFC 7519),用于作为JSON对象在不同系统之间进行安
Spring Cloud Gateway + Oauth2 + SSO搭建微服务的统一认证授权中心
LarrYFinal的博客
04-05 8095
Spring Cloud Gateway + Oauth2 + SSO搭建微服务的统一认证授权中心 目录 Spring Cloud Gateway + Oauth2 + SSO搭建微服务的统一认证授权中心 一、简介 二、项目搭建 三、测试 一、简介 1.1 Spring Cloud Gateway 网关服务 相比大家都应该知道。主要是统一我们的接口请求转发,将我们对其他服务的请求都通过网关进行转发。API网关封装了系统内部架构,为每个客户端提供一个定制的API。它可能还具有其它职责,如.
sso单点登录ppt.ppt
10-30
sso单点登录ppt.ppt

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值