单点登录SSO技术选型

最新推荐文章于 2024-05-29 00:46:29 发布
最新推荐文章于 2024-05-29 00:46:29 发布
阅读量1.7w 收藏 48
点赞数 7
分类专栏: 单点登录 文章标签: spring-security shiro JWT oauth2.0 spring-security-oauth2.0
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012394095/article/details/79732224
版权

 

 

 

身份认证技术

cas(单点登录)

解决问题:多个系统只需登录一次,无需重复登录

原理:授权服务器,被授权客户端

1、授权服务器(一个)保存了全局的一份session,客户端(多个)各自保存自己的session

2、客户端登录时判断自己的session是否已登录,若未登录,则(告诉浏览器)重定向到授权服务器(参数带上自己的地址,用于回调)

3、授权服务器判断全局的session是否已登录,若未登录则定向到登录页面,提示用户登录,登录成功后,授权服务器重定向到客户端(参数带上ticket【一个凭证号】)

4、客户端收到ticket后,请求服务器获取用户信息

5、服务器同意客户端授权后,服务端保存用户信息至全局session,客户端将用户保存至本地session

默认不支持http请求, 仅支持https 

缺点: 

cas单点登录技术适用于传统应用的场景比较多, 官方示例也是以javaWeb为准, 对微服务化应用,前后端分离应用,

支持性较差

oauth2(第三方登录授权)

解决问题:第三方系统访问主系统资源,用户无需将在主系统的账号告知第三方,只需通过主系统的授权,第三方就可使用主系统的资源(

如:APP1需使用微信支付,微信支付会提示用户是否授权,用户授权后,APP1就可使用微信支付功能了)

原理:主系统,授权系统(给主系统授权用的,也可以跟主系统是同一个系统),第三方系统
1、第三方系统需要使用主系统的资源,第三方重定向到授权系统
2、根据不同的授权方式,授权系统提示用户授权
3、用户授权后,授权系统返回一个授权凭证(accessToken)给第三方系统【accessToken是有有效期的】
4、第三方使用accessToken访问主系统资源【accessToken失效后,第三方需重新请求授权系统,以获取新的accessToken】

OAUTH2中的角色:

  • Resource Server: 被授权访问的资源
  • Authotization Server:OAUTH2认证授权中心
  • Resource owner : 资源拥有者
  • Client:使用API的客户端(如Android 、IOS、web app)

工作流程如下:

 

jwt (客户端token)

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519). 该token被设计为紧凑且安全的,

特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从

资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

基于JWT认证协议,自己开发SSO服务和权限控制。 流程如下

 

安全控制框架

 

spring-security 

spring-security 是spring家族的安全控制框架, 功能非常完善。  Spring Security是能够为J2EE项目提供综合性的安全访问控制解决方案的安全框架。

它依赖于Servlet过滤器。这些过滤器拦截进入请求,并且在应用程序处理该请求之前进行某些安全处理。 

Spring Security对用户请求的拦截过程如下: 

shiro

Apache Shiro 是一个强大而灵活的开源安全框架,它干净利落地处理身份认证,授权,企业会话管理和加密。 

以下是你可以用 Apache Shiro 所做的事情: 

  1. 验证用户来核实他们的身份 
  2. 对用户执行访问控制,
    1. 判断用户是否被分配了一个确定的安全角色 
    2. 判断用户是否被允许做某事 
  3. 在任何环境下使用 Session API,即使没有 Web 或 EJB 容器。 
  4. 在身份验证,访问控制期间或在会话的生命周期,对事件作出反应。 
  5. 聚集一个或多个用户安全数据的数据源,并作为一个单一的复合用户“视图”。 
  6. 启用单点登录(SSO)功能。 内置了jasig-cas
  7. 为没有关联到登录的用户启用"Remember Me"服务

 

市面上一些主流的技术搭配

spring-security + oauth2 

spring-security + cas   功能较弱,对前后端分离的项目支持不是很好

shiro + cas 

比较

featuresspring-security + oauth2shiro + casjwt
依赖
  • jdk
  • jwt
  • redis
  • redis
  • jdk
  • jwt
自定义权限支持,用户登录后将用户的权限列表写入认证服务器支持 , 用户登录后将用户的权限列表写入客户端支持
认证服务集群 CAS支持支持
共享session支持支持支持
前后端分离支持,参数始终携带access_token支持不够友好,需要改造CAS服务端支持
缺点
  1. 功能较重,学习成本较高,无法短时间内了解的比较深
  2. 文档比较复杂
  1. 需要集成shiro 和 cas , 项目框架较重,
  2. cas官方提供的示例是仅支持javaWeb, 对前后端分离的项目支持不够友好,需要对CAS服务端进行改造 , 复杂性较高。

需要自己基于JWT认证协议编写SSO服务,开发周期较长

自己编写的话,需要

文档文档完善文档完善
优点
  • 功能完善,针对权限控制这一块提供了比较完善的解决方案
  • 集成该框架较简单,开发周期较短
  • spring家族产品,和spring-cloud系列的技术集成较简单,更加成熟
  • 可以搭建稳定的认证服务器。
  • 文档清晰,较简单
  • 功能完善,对权限,用户认证这一块提供的功能非常丰富
  • 集成shiro较简单,开发周期很短。
可以自定义需求,灵活扩展
    

sharedCode源码交流群,欢迎喜欢阅读源码的朋友加群,添加下面的微信, 备注”加群“ 。 

 

 

sharedCode
关注
  • 7
    点赞
  • 48
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
单点登录源码
01-09
单点登录, SSM框架公共模块 ├── zheng-admin -- 后台管理模板 ├── zheng-ui -- 前台thymeleaf模板[端口:1000] ├── zheng-config -- 配置中心[端口:1001] ├── zheng-upms -- 用户权限管理系统 | ├── ...
网站单点登录详细设计
11-18
单点登录(Single Sign-On,简称SSO)是一种现代企业级应用程序集成的重要技术,允许用户在一次登录后访问多个相互信任的系统,无需重复输入凭证。SSO的核心在于提供一个统一的身份认证系统,使得用户在访问任何受...
单点登录(SSO)看这一篇就够了
乌龟的专栏
03-13 9562
单点登录(SSO)看这一篇就够了
SSO单点登录原理详解
Yilong18的博客
12-06 3052
sso单点登录
SpringCloud之SSO单点登录-基于Gateway和OAuth2的跨系统统一认证和鉴权详解
最新发布
踏雨歌青春,诗酒趁年华
05-29 1万+
本文详述了如何利用SpringCloud、Gateway和OAuth2实现跨系统的统一认证和鉴权。文章介绍了SSO单点登录的概念和优势,通过具体的配置和代码示例,讲解了如何搭建一个安全、高效的认证中心,实现用户只需一次登录即可访问多个系统的目标,从而提高系统安全性和用户体验。
SSO单点登录
ZqnBeata的博客
03-08 2312
目录 前言 1. http无状态协议 2. 会话机制 3. 登录状态 二、多系统的复杂性 三、单点登录 1. 登录 2. 注销 四、部署图 五、实现 1. sso-client拦截未登录请求 2. sso-server拦截未登录请求 3. sso-server验证用户登录信息 4. sso-server创建授权令牌 5. sso-client取得令牌并校验 6. sso-server接收并处理校验令牌请求 7. sso-client校验令牌成功创建局部会话 8. 注...
单点登录SSO)实现详解!!!
LuckyWinty的博客
02-22 356
点击上方前端Q,关注公众号 回复加群,加入前端Q技术交流群单点登录是什么?你是怎么理解的?单点登录是如何实现的普通登录提到单点登录,首先可以想到传统登录,通过登录页面根据用户名查询用户信息,判断密码是否正确,正确则将用户信息写到session,访问的时候通过从session中获取用户信息,判断是否已登录,登录则允许访问。普通登录的缺点由于session不能共享,服务越来越多,并且还服务还搭建集...
单点登录SSO
weixin_34025151的博客
05-24 327
一、什么是单点登录SSO(Single Sign-On)   SSO是一种统一认证和授权机制,指访问同一服务器不同应用中的受保护资源的同一用户,只需要登录一次,即通过一个应用中的安全验证后,再访问其他应用中的受保护资源时,不再需要重新登录验证。 二、单点登录解决了什么问题   解决了用户只需要登录一次就可以访问所有相互信任的应用系统,而不用重复登录。 三、单点登录技术实现机制   如下...
单点登录技术方案.pdf
11-21
在IT行业中,单点登录(Single Sign-On,简称SSO)是一种身份验证机制,允许用户通过一次登录就能访问多个相互关联的应用系统,从而提高用户体验并简化系统管理。本文将深入探讨xxxx集团的单点登录技术方案。 首先...
系统单点登录性能测试优化方案.docx
10-23
在IT系统中,单点登录(Single Sign-On, SSO)是一项重要的功能,它允许用户在一个系统中登录后,无须再次认证即可访问多个相互信任的系统。然而,随着用户量的增加,性能问题可能会逐渐暴露,如登录延迟、资源消耗...
张辉清-小团队构建大网站之技术选型.pdf
08-20
5. **公共应用组件**:如用户管理、单点登录SSO)、聚合支付、通讯CTI框架等,这些都是支撑业务运行的关键组件。 6. **消息队列**:如RabbitMQ,用于异步处理和解耦各个系统间的通信。 7. **度量工具**:Metrics...
单点登录认证系统前端实现方案
weixin_45559449的博客
03-02 2904
单点登录(Single Sign On),简称SSO。是指在多个应用系统中,用户只需要登录一次,就可以访问所有相互信任的应用系统。采用OAuto2.0授权协议实现单点登录功能。本系统使用 Authorization Code(授权码模式)来获取 访问令牌 (access_token)系统说明统一身份认证平台用于业务系统登录,身份认证管理后台对集成单点登录的业务系统进行管理,包含业务系统注册、修改、注销等功能业务系统自身需要集成单点登录,可涉及多个业务系统统一身份认证平台。
OAuth2.0(及OIDC 1.0)选型建议及SSO、SLO方案
罗小爬的技术宝书
02-26 2697
本文主要介绍了OAuth 2.0 & OIDC 1.0 的不同授权流程的选型建议,以及使用OIDC实现SSO、SLO整体方案。
SSO单点登录技术选型
d932385747的博客
07-06 1028
SSO单点登录技术选型SSO描述定义SSO原理合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 SSO描述 定义 单点登录(SingleSignOn,SSO),就是通过用户的一次性鉴别登录。当用户在身份认证服务器上登录一次以后,即可获得访问单
Java单点登录技术选型与对比 kisso, sa-token
mxskymx的专栏
04-23 2277
背景介绍 单点登录SSO(Single Sign On),就是在多系统环境下,用户在其中一个系统登录后,就不用在其它系统再登录了。 早期我们的web系统都是单体应用,所有功能都写到一个war包中,用户登录认证功能处理起来相对比较简单。用户登陆成功后,服务器将用户信息写入到会话中(Session)。会生成 session id来标记这块内存区间是属于你的,并且,这个 session id( jsessionid ) 会写入到你的浏览器 cookie 中,只要你浏览器没关闭,每次向...
单点登录原理及其实现方案
JavaEdge全是干货的技术号
02-02 2745
1 定义 单点登录(Single sign-on,简称 SSO),一种对于许多相互关连,但是又是各自独立的软件系统,提供访问控制的属性。 当拥有该属性时,当用户登录时,就可以获取所有系统的访问权限,不用对每个单一系统都逐一登录。所以你会看到很多域名直接是sso.domain.com,也就是用来做单点登录。 这项功能通常是以轻型目录访问协议(LDAP)来实现,在服务器上会将用户信息存储到LDAP数据库中。 相同的,单一退出(single sign-off)就是指,只需要单一的退出动作,就可以结束对于多个系统的
技术选型与软件开发
al_jin的专栏
12-03 5358
我们接手一个新的项目,在对项目的需求进行分析之后,往往需要进行技术选型工作。技术选型与软件开发效率息息相关。合适的技术往往可以达到事半功倍的效果。 选择意味着对比,对比意味着可比性。针对满足同一需求的各种技术之间才存在选择问题。首先针对不同需求,比如前端和后端在做技术选型时应该独立开。其次,每种技术都各有利弊,我们应该抓大放小,然后再追求尽善尽美。 软件的开发和维护是一个长期的过程。即便在技术
单点登录技术
蹊源的奇思妙想的博客
11-15 2332
单点登录的解决方案 单点登录:多个系统,只需要一次登录就能访问所有系统,只需要一次退出,就能退出所有系统。 应用:淘宝与天猫 方案一: Cookie +jsoup 对于不需要频繁验证用户是否登录的系统 (安全要求较低) Cookie利用随机数字 + 服务端数据库表来存储更加安全 方案二: session 入库+redis 需要频繁验证用户是否登录的系统(安全性相对 ) 可以实现会话跟踪的技术: 1...
单点登录与第三方登录 + CSRF-XSS-DNS-DDOS-SQL攻击
热门推荐
Java后端技术栈
05-27 2万+
多系统实现单点登录方案:SSO 单点登录 一、什么是单点登录SSO(Single Sign-On)   SSO是一种统一认证和授权机制,指访问同一服务器不同应用中的受保护资源的同一用户,只需要登录一次,即通过一个应用中的安全验证后,再访问其他应用中的受保护资源时,不再需要重新登录验证。 二、单点登录解决了什么问题   解决了用户只需要登录一次就可以访问所有相互信任的应用系统,而不用重复登录。 三、单点登录技术实现机制   如下图所示:    认证后返回给应用系统而不是用户 注(图片所
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值