SSO(CAS)和Oauth2.0区别和原理

最新推荐文章于 2024-04-24 11:49:09 发布
最新推荐文章于 2024-04-24 11:49:09 发布
阅读量6.5k 收藏 23
点赞数 5
分类专栏: web开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18746961/article/details/118223010
版权

简介和区别

  • SSO, single sign on,单点登录。sso多用于多个应用之间的切换,例如百度论坛、百度知道、百度云、百度文库等,在其中一个系统中登录, 切换到另一个系统的时候,不必再次输入用户名密码。
  • oauth2.0,开放授权,不兼容oauth1.0.允许第三方应用代表用户获得访问权限。可以作为web应用、桌面应用和手机等设备提供专门的认证流程。例如,用qq账号登录豆瓣、美团、大众点评;用支付宝账号登录淘宝、天猫等。
  • 区别:sso和oauth2.0在应用场景上的区别在于,SSO是为了解决一个用户在鉴权服务器登陆过一次以后,可以在任何应用(通常是一个厂家的各个系统)中畅通无阻。OAuth2.0解决的是通过令牌(token)而不是密码获取某个系统的操作权限(不同厂家之间的账号共享)。

SSO

传统的多应用切换,面临 cookie 跨域和session共享的问题,只要解决了上面两块问题都可以是实现SSO。
下面介绍了一种单点登录的方式CAS(中央认证服务Central Authentication Service)。
CAS介绍
2012年,Jasig和另一个有影响的组织Sakai Foundation合并,组成Apereo。Apereo是一个由高等学术教育机构发起组织的联盟,旨在为学术教育机构提供高质量软件,当然很多软件也被大量应用于商业环境,譬如CAS。目前CAS由Apereo社区维护。
CAS的官方网址是: https://www.apereo.org/projects/cas
Github地址:https://github.com/apereo/cas

主要特征:

  1. CAS服务是保障各业务系统的用户资源的安全 。
  2. 各个业务系统获得的信息是,这个用户能不能访问我的资源。
  3. 单点登录,资源都在各个业务系统这边,不在CAS服务那一方。 用户在给CAS服务器提供了用户名密码后,作为业务系统并不知道这件事。CAS随便给业务系统一个ST,那么业务系统是不能确定这个ST是用户伪造的,还是真的有效,所以要拿着这个ST去CAS服务器再问一下,这个用户给我的ST是否有效,是有效的我才能让这个用户访问。
    在这里插入图片描述

上图是CAS官网上的标准流程,具体流程如下:

  1. 用户访问app系统,app系统是需要登录的,但用户现在没有登录。
  2. 跳转到CAS server,即SSO登录系统,以后图中的CAS Server我们统一叫做SSO系统。SSO系统也没有登录,弹出用户登录页。
  3. 用户填写用户名、密码,SSO系统进行认证后,将登录状态写入SSO的session,浏览器(Browser)中写入SSO域下的Cookie。
  4. SSO系统登录完成后会生成一个ST(Service Ticket),然后跳转到app系统,同时将ST作为参数传递给app系统。
  5. app系统拿到ST后,从后台向SSO发送请求,验证ST是否有效。
  6. 验证通过后,app系统将登录状态写入session并设置app域下的Cookie。

至此,跨域单点登录就完成了。以后我们再访问app系统时,app就是登录的。接下来,我们再看看访问app2系统时的流程。

  1. 用户访问app2系统,app2系统没有登录,跳转到SSO。
  2. 由于SSO已经登录了,不需要重新登录认证。
  3. SSO生成ST,浏览器跳转到app2系统,并将ST作为参数传递给app2。
  4. app2拿到ST,后台访问SSO,验证ST是否有效。
  5. 验证成功后,app2将登录状态写入session,并在app2域下写入Cookie。

这样,app2系统不需要走登录流程,就已经是登录了。SSO,app和app2在不同的域,它们之间的session不共享也是没问题的。

302 表示临时性重定向。访问一个Url时,被重定向到另一个url上,常用于页面跳转。

oauth2.0

OAuth2 RFC6749中文翻译:http://colobu.com/2017/04/28/oauth2-rfc6749/

OAuth 2.0授权框架支持第三方支持访问有限的HTTP服务,通过在资源所有者和HTTP服务之间进行一个批准交互来代表资源者去访问这些资源,或者通过允许第三方应用程序以自己的名义获取访问权限。

为了方便理解,可以想象OAuth2.0就是在用户资源和第三方应用之间的一个中间层,它把资源和第三方应用隔开,使得第三方应用无法直接访问资源,从而起到保护资源的作用。

为了访问这种受保护的资源,第三方应用(客户端)在访问的时候需要提供凭证。即,需要告诉OAuth2.0你是谁你要做什么。

你可以将用户名和密码告诉第三方应用,让第三方应用直接以你的名义去访问,也可以授权第三方应用去访问。

可以联想一下微信公众平台开发,在微信公众平台开发过程中当我们访问某个页面,页面可能弹出一个提示框应用需要获取我们的个人信息问是否允许,点确认其实就是授权第三方应用获取我们在微信公众平台的个人信息。这里微信网页授权就是使用的OAuth2.0。

OAuth定义了四种角色:

  1. resource owner(资源所有者)
  2. resource server(资源服务器)
  3. client(客户端):代表资源所有者并且经过所有者授权去访问受保护的资源的应用程序
  4. authorization server(授权服务器):在成功验证资源所有者并获得授权后向客户端发出访问令牌
    授权类型有四种:authorization code, implicit, resource owner password credentials, and client credentials

在这里插入图片描述

参考 https://blog.csdn.net/tclzsn7456/article/details/79550249

傲天寒霜
关注
  • 5
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CAS的单点登录和OAuth2区别、应用场景
binzai325的专栏
05-19 3803
OAuth2 OAuth2的设计背景,在于允许用户在不告知第三方自己的帐号密码情况下,通过授权方式,让第三方服务可以获取自己的资源信息。 详细的协议介绍,开发者可以参考RFC 6749。 下面简单说明OAuth2中最经典的Authorization Code模式,流程如下: 流程图中,包含四个角色。 ResourceOwner为资源所有者,即为用户 User-Agent为浏览器 AuthorizationServer为认证服务器,可以理解为用户资源托管方,比如企业微信服务端 Client为
http认证鉴权05CASOAuth2区别
江州司马
04-04 3726
二者区别主要集中在以下几个方面 目的不同 cas是用作单点登录的,oauth2是用来做授权的。 保护对象不同 cas保护的用户名密码(st可以看作用户名密码的等价物)。oauth2,保护的是code,code等价于用户名+密码+数据使用范围限制(第三方登录时,可以选择是否提供手机号,头像等信息给被授权方使用。 区别很大?并非如此 CASOauth2乍一看区别很大。 譬如常见的流程图解 CAS OAuth2 但是如果我们将CAS的流程图拍平,也修改为OAuth2的形式进行展示。那么
sa-token整合oauth2
最新发布
u014308676的博客
04-24 683
需要注意的是,Spring Security 5 提供了对 OAuth 2.0 的原生支持,如果你使用的是 Spring Boot,那么整合 Spring Security 和 OAuth 2.0 可能是更直接的选择。:你需要实现 OAuth 2.0 的登录流程,包括重定向用户到授权服务器、处理授权服务器的回调等。具体的实现细节会根据你的项目需求、使用的技术栈和 OAuth 2.0 服务器的具体实现而有所不同。:对你的整合进行彻底的测试,确保 OAuth 2.0 登录流程正常工作,并且。
casoauth2、单一登录的区别
aiqq527的专栏
07-13 735
浏览器访问是无状态的,判断是否登陆需服务器自定义实现,可保存在session中,或者保存在缓存中 每个浏览器会话都有一个唯一的sessionid,用于区别不同的会话 cas(单点登录) 现象:多个系统只需登录一次,无需重复登录 原理:授权服务器,被授权客户端 1、授权服务器(一个)保存了全局的一份session,客户端(多个)各自保存自己的session 2、客户端登录时判断自己的session是否已登录,若未登录,则(告诉浏览器)重定向到授权服务器(参数带上自己的地址,用于回调) 3、授权服务器判断全局
CAS服务端的搭建并配置OAtuh2.0协议
梧桐树的博客
09-10 1498
CAS认证是Central Authentication Service的缩写,中央认证服务,一种独立开放指令协议。CAS是耶鲁大学发起的一个开源项目,旨在为Web应用系统提供一种可靠的SSO解决方案。
OAuth2.0SSO比较
liyanlei的专栏
02-07 1812
OAuth2.0SSO比较_咖啡男孩之SRE之路-CSDN博客_oauth2.0sso OAuth是Open Authority的缩写,是令牌代替用户密码访问应用的又一标准,前面一期介绍过SSO单点登录(SpringBoot模拟单点登录),也是令牌登陆的一种方式。 OAuth2.0最典型的授权码认证方式: 资源服务器和鉴权服务器都是属于资源所有方,也就是最终的服务提供方,第三接入方需要先与鉴权服务器申请合作获取客户编码。 对于资源服务器来说,需要做的是 1 accessToken和cl
【集合】统一身份认证(CAS)和OAuth2的工作流程
热门推荐
tpriwwq的专栏
07-12 2万+
单点登录SSO(Single Sign ON),指在多个应用系统中,只需登录一次,即可在多个应用系统之间共享登录。统一身份认证CAS(Central Authentication Service)是SSO的开源实现,利用CAS实现SSO可以很大程度的降低开发和维护的成本。...
cas3.5.0集成oauth2.0协议
03-21
1. **CAS服务器配置**:展示如何在CAS服务器的配置文件中启用OAuth2.0支持,以及相关的服务定义和策略设置。 2. **客户端应用代码**:提供了一个简单的客户端应用示例,展示了如何与CAS服务器交互,获取和使用OAuth...
基于Spring Cloud、OAuth2.0、Vue的前后端分离的系统
12-11
系统可能集成了CASOAuth2.0或JWT等技术来实现多系统间的SSO,提升用户体验。 10. **Vue.js**: Vue.js 是一个轻量级的前端JavaScript框架,用于构建用户界面。Vue的特点包括声明式渲染、组件化、虚拟DOM和响应式...
单点登录JWT、CASOauth2、SAML几种技术方案对比分析
11-19
本文将对比分析四种常见的SSO技术:JWT、CASOAuth2和SAML。 1. 基于JWT的单点登录: JWT(Json Web Token)是一种开放标准,用于在各方之间安全地传输信息。在SSO场景中,JWT作为用户身份验证的凭证,具有紧凑且...
Sa-Token:这可能是史上功能最全的Java权限认证框架!目前已集成——登录认证、权限认证、分布式Session会话、微服务网关鉴权、单点登录、OAuth2.0、踢人下线、Redis集成、前后台分离、记住我模式、模拟他人账号、临时身份切换、账号封禁、多账号认证体系、注解式鉴权、路由拦截式鉴权、花式token生成、自动续签、同端互斥登录、会话治理、密码加密、jwt集成、Spring集成、WebFlux集成..
07-23
在线资料Sa-Token 介绍Sa-Token是一个轻量级Java权限认证框架,主要解决:登录认证、权限认证、Session会话、单点登录、OAuth2.0、微服务网关鉴权 等一系列权限相关问题框架集成简单、开箱即用、API设计清爽,通过Sa...
SSO CAS 整理 - 页面备份
10-28
这些教程详细介绍了从零开始搭建CAS 5.x的过程,涵盖了从基础环境准备到高级功能配置的各个步骤,对于理解SSO原理和实践操作具有很高的参考价值。通过学习和实践,开发者能够熟练掌握CAS的使用,从而为组织提供安全...
springsecurity oauth2.0 集成sso单点登录
congge
11-21 8191
前言 在前两篇中,我们基本上了解springsecurity 的授权码模式和密码模式的工作流程,其实来说,掌握了授权码模式,再基于springsecurity 做单点登录的集成就是一件非常容易的事情 单点登录解释 当我们登录淘宝之后,可以在天猫等其他任意一个应用内进行访问,而不需要二次登录 关于单点登录的业务含义,这里就不再过多做解释了,在之前的博客关于单点登录篇中有较为详细的阐释说明,本篇将直接在springsecurity 认证之授权码模式的基础上进行整合,完整的演示下如何使用springsecuri
SSO 单点登录和 OAuth2.0 有何区别
qq_43842093的博客
04-07 1185
此方法的缺点是它依赖于浏览器和会话状态,对于分布式或者微服务系统而言,可能需要在服务端做会话共享,但是服务端会话共享效率比较低,这不是一个好的方案。在单点登录的上下文中,OAuth 可以用作一个中介,用户在一个“授权服务器”上登录,并获得一个访问令牌,该令牌可以用于访问其他“资源服务器”上的资源。首先,SSO 主要关注用户在多个应用程序和服务之间的无缝切换和保持登录状态的问题。这种方法通过将登录认证和业务系统分离,使用独立的登录中心,实现了在登录中心登录后,所有相关的业务系统都能免登录访问资源。
Oauth2.0实现SSO单点登录的CAS方式和相关Demo演示
架构师的成长之路的博客
08-29 844
SSO介绍# 什么是SSO# 百科:SSO英文全称Single Sign On,单点登录。SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制。它是目前比较流行的企业业务整合的解决方案之一。 简单来说,SSO出现的目的在于解决同一产品体系中,多应用共享用户session的需求。SSO通过将用户登录信息映射到浏览器cookie中,解决其它应用免登获取用户session的问题。 为什么需要SSO# 开放平台业
大白话唠唠 Oauth2 与授权认证的那些事儿!
石杉的架构笔记
11-26 1368
我的新课《C2C 电商系统微服务架构120天实战训练营》在公众号儒猿技术窝上线了,感兴趣的同学,可以长按扫描下方二维码了解课程详情:课程大纲请参见文末出处:https://kefeng....
SpringSecurity、Shiro、Oauth2.0Cas 权限控制
dong1018645785的博客
06-23 1780
权限控制框架
CAS3.5.2 Server 集成 OAuth2.0 Server 详细介绍
Java精选
11-21 9045
转载自 http://www.yoodb.com/article/display/1226         OAuth2.0是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储用户信息,而无需将用户名和密码提供给第三方应用,CAS3.5.x(x>1)提供了OAuth2.0的支持,包括客户端和服务端,依赖cas-server-support-oauth.jar包。 CAS
Apereo CAS 5.0.X 启用OAuth/OpenID认证
来啊 快活啊
03-07 1万+
https://apereo.github.io/cas/5.0.x/installation/OAuth-OpenId-Authentication.html
casoauth2的区别
04-05
CAS(Central Authentication Service)和OAuth2(Open Authorization 2.0)都是用于身份验证和授权的协议,但它们有以下几点区别: 1. 目的不同:CAS主要用于单点登录(SSO)和Web应用程序的身份验证,而OAuth2则是用于授权和访问资源。 2. 认证方式不同:CAS使用用户名和密码的形式进行身份验证,而OAuth2使用令牌进行身份验证。 3. 授权流程不同:CAS采用的是CAS Protocol,是一种基于重定向的协议,用户在CAS认证后,会返回一个票据给客户端,客户端再携带票据向CAS服务器获取TGT(Ticket Granting Ticket),最终获取ST(Service Ticket)进行访问控制。而OAuth2采用的是OAuth2协议,是一种基于授权码或令牌的授权方式,客户端会向授权服务器申请授权码或令牌,再携带授权码或令牌访问资源服务器,进行访问控制。 4. 应用场景不同:CAS适用于需要实现单点登录和多个应用程序之间共享用户身份的场景,而OAuth2适用于需要授权访问第三方应用程序或API的场景。 5. 安全性不同:CAS在传输过程中使用SSL进行加密保护,而OAuth2则采用更加安全的TLS协议进行传输。同时,OAuth2还提供了更加严格的授权流程,可以更好地保护用户隐私和安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值