OAuth
1.概念
OAuth就是一个网络开放协议。为保证用户资源的安全授权提供了简易的标准.主要是基于Token令牌来运作的.
2.OAuth角色
OAuth 2.0 定义了四个角色:
资源拥有者(Resource Owner)
资源拥有者其实就是用户(user),用户将会授权一个第三方应用可以获取他们的账户资源。当然第三方应用程序对于用户账户的操作是有限制的(比如,read access, read and write access)!这个限制就是用户授权时给予的权限范围(scope)
上面场景中,微博账户就是资源拥有者。read access就比如读取微博用户名,write access就比如以你的名义发了一个微博。
客户端(Client)
客户端就是前面说的第三方应用程序,他们想要获取用户的账户资源,但在这么做之前必须经过授权
上面场景中,简书就是客户端
资源服务器(Resource Server)
资源服务器存放用户账户以及账户信息和资源
上面场景中,新浪微博就是资源服务器,同时也是授权服务器
授权服务器(Authorization Server)
授权服务器验证用户身份,并为第三方应用程序颁发授权令牌(access token)
资源服务器与授权服务器可以是同一台服务器,这里分开主要是便于解释清楚OAuth协议。从程序开发者的角度,这两个都是service’s API会执行的事情。
在了解完OAuth中的四个角色之后,我们看看这四个角色之间是如何互动的。下面是基本运行流程。
Abstract Protocol Flow
应用程序向用户请求给予授权,以便获取服务器资源
如果用户同意授权,应用程序将获得相应授权
应用程序向授权服务器提供自己的身份证明(app key和app secret)和已被授权的证明(authorization grant),并请求访问令牌(access token)
如果应用程序的身份被核实,并且授权是有效地,那么授权服务器将会发放访问令牌给应用程序。此时,授权完成
应用程序向资源服务器出示访问令牌,并请求资源
如果访问令牌是有效的(比如:是否伪造,是否越权,是否过期),资源服务器将会为应用程序提供资源
单点登录
(一)基本概念
1.简介
作用:
解决了多个系统之间session无法共享问题(因为分布式项目是多个系统,每个系统都是分别由不同的团队进行维护的,每个系统都是单独部署运行一个单独的tomcat,多个tomcat的session是不能共享的,所以我们需要一个单独的系统来维护用户的登录信息,单点登录(Single Sign On),简称为 SSO)
什么是SSP:
至少两个系统才能体现单点登录系统的价值,多个系统中用户只需要登录一次就可以访问所有的系统
2.session跨域
所谓Session跨域就是摒弃了系统(Tomcat)提供的Session,而使用自定义的类似Session的机制来保存客户端数据的一种解决方案。
如:通过设置cookie的domain来实现cookie的跨域传递。在cookie中传递一个自定义的session_id。这个session_id是客户端的唯一标记。将这个标记作为key,将客户端需要保存的数据作为value,在服务端进行保存(数据库保存或NoSQL保存)。这种机制就是Session的跨域解决。
什么跨域: 客户端请求的时候,请求的服务器,不是同一个IP,端口,域名,主机名的时候,都称为跨域。
什么是域:在应用模型,一个完整的,有独立访问路径的功能集合称为一个域。如:百度称为一个应用或系统。百度下有若干的域,如:搜索引擎(www.baidu.com),百度贴吧(tie.baidu.com),百度知道(zhidao.baidu.com),百度地图(map.baidu.com)等。域信息,有时也称为多级域名。域的划分: 以IP,端口,域名,主机名为标准,实现划分。
localhost / 127.0.0.1
使用cookie跨域共享,是session跨域的一种解决方案。
jsessionid是和servlet绑定的httpsession的唯一标记。
cookie应用 - new Cookie("", “”).
request.getCookies() -> cookie[] -> 迭代找到需要使用的cookie
response.addCookie().
cookie.setDomain() - 为cookie设定有效域范围。
cookie.setPath() - 为cookie设定有效URI范围。
3.执行流程
用户在访问应用系统1的时候,先去认证系统(专门对用户进行系统认证的系统,判断用户是否是合法的,存在的,如果存在就返回一个ticket)
在登录其它系统时候先拿着ticket在访问应用别的系统之前去认证系统里