web 单点登录sso(single sign on)的实现方案:CAS, SAML, OIDC,JWT

最新推荐文章于 2023-11-08 09:44:26 发布
最新推荐文章于 2023-11-08 09:44:26 发布
阅读量3.2k 收藏 9
点赞数 2
分类专栏: oauth 文章标签: jwt cookie session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013905744/article/details/111225420
版权

文章目录

什么是SSO?

web登录的本质是什么?
在这里插入图片描述
如何增加状态/会话
在这里插入图片描述
单个系统的登录
在这里插入图片描述
扩展到多个系统,就是SSO
在这里插入图片描述

方案1:共享cookie,后台共享session

在这里插入图片描述
spring session项目就是共享session,共享session放到redis中
在这里插入图片描述
Session Cookie要种在Web应用的根域上,也就是说不同Web应用的根域必须相同,否则会有跨域问题。

方案2:共享cookie,后台不共享session

在这里插入图片描述
签名的方式来校验
在这里插入图片描述
在这里插入图片描述
SSO,要保存用户登录的会话关系。比如浏览器场景下,其是放到session中。而在方案2场景下,其将会话状态存放在客户端(浏览器上)。

方案3:使用独立的认证中心

CAS(central authentication service)

耶鲁大学发起的开源SSO

几个核心概念

  • CAS Server / CAS Client
  • Service
  • TGT: Ticket Granting Ticket
  • ST: Service Ticket

CAS Server:sso server,所有的登录认证都是由独立的认证中心完成

CAS Client:系统A 系统B

TGT:为每个用户创建了一个登陆令牌,用来证明用户已经在CAS上登陆了

下面以浏览器,系统A,系统B和认证中心为例,说明SSO的流程

1. 访问系统A(未登录)

在这里插入图片描述
为什么a.com不直接访问认证中心,而要通过302redirect的方式呢?因为浏览器要获取一个认证中心的session

在认证中心创建一个session

setCookie 并且ticket

2. 登录系统A(已登录)

在这里插入图片描述
系统A要去人认证中心验证,这个ticket是sso.com发出的。

其是通过一个全局的cookie和多个子系统的cookie来实现的

3. 登录了系统A以后,再来访问系统B

在这里插入图片描述
返回给系统B的ticket与系统A的ticket不同,但代表的是同一个用户

4. 访问系统B(已登录)

在这里插入图片描述
此时就有三个cookie了

认证中心会把系统A和系统B注册,每次的ticket都是不同的

5. 退出登录

在这里插入图片描述
向认证中心发送一个注销请求,其需要查看这个用户注册过系统A和系统B,把这三个session全部注销掉。认证中心调用系统A的logout接口,将session invalidate掉,那么系统A中应该记录了session与用户相关的信息,可以标识出这是哪个用户的session,将相对应的session invalidate掉就可以了。

可以思考下如何进行全局退出?

对比起来jwt的无状态的优点就显示出来了

6. 再思考下CAS

在这里插入图片描述
系统A一定要去认证中心验证ticket吗?

saml

在这里插入图片描述
4和5之间也是要走浏览器的

问题:系统A如何对认证中心发送的消息做认证
在这里插入图片描述
系统A如何得到SSO server的公钥呢?
实际中是系统A导入SSO server的证书
在这里插入图片描述
service provider:系统A

identity provider:认证中心

与前面的CAS最大的不同就是系统A验证用户是否在sso server登陆的方式

  • cas使用ticket方式,系统A需要把ticket给sso server来验证
  • saml使用xml+签名(RSA) security access mark language,系统A不需要和sso server进行验证交互了

问题:saml这种方式如何注销会话呢?因为注册没有了?

回答:这种方式类似jwt,想要注销jwt令牌通常会有两种做法:

  1. 将每次生成JWT令牌时的秘钥粒度缩小到用户级别,也就是一个用户一个秘钥。这样,当用户取消授权或者修改密码后,就可以让这个密钥一起修改。一般情况下,这种方案需要配套一个单独的密钥管理服务。
  2. 在不提供用户主动取消授权的环境里面,如果只考虑到修改密码的情况,那么我们就可以把用户密码作为JWT的密钥。当然,这也是用户粒度级别的。这样一来,用户修改密码也就相当于修改了密钥。

CAS和saml都适合在企业内部使用,不适合互联网

OIDC (openID Connect)

场景:

有些App不想非常麻烦地自己设计一套注册和登录认证流程,就会寻求统一的解决方案,然后势必会出现一个平台来收揽所有类似的认证登录场景。再反过来理解也是成立的。如果有个拥有海量用户的、大流量的访问平台,来提供一套统一的登录认证服务,让其他第三方应用来对接,不就可以解决一个用户使用同一个账号来登录众多第三方App的问题了吗?而OIDC,就是这样的登录认证场景的开放解决方案。

OIDC的三个主要角色

  • EU(End User),代表最终用户。
  • RP(Relying Party),代表认证服务的依赖方,就是第三方软件。
  • OP(OpenID Provider),代表提供身份认证服务方。

现在很多App都接入了微信登录,那么微信登录就是一个大的身份认证服务(OP)。一旦我们有了微信账号,就可以登录所有接入了微信登录体系的App(RP),这就是我们常说的联合登录。

一个用户G要登录第三方软件A,A有三个子应用,域名分别是a1.com、a2.com、a3.com。如果A想要为用户提供更流畅的登录体验,让用户G登录了a1.com之后也能顺利登录其他两个域名,就可以创建一个身份认证服务,来支持a1.com、a2.com和a3.com的登录。
在这里插入图片描述
有了第一次登录,服务端有了登录状态,会做相应的判断,就不会让用户再次输入用户名和密码了。那个步骤3是在未登录的情况下发生的。已登录的情况下没有步骤3的。

在保证用户身份认证功能的前提下,如果想获取更多的用户信息,就再通过访问令牌ACCESS_TOKEN获取。在OIDC框架里,这部分内容叫做创建UserInfo端点和获取UserInfo信息。

OIDC的流程就是:生成ID令牌->创建UserInfo端点->解析ID令牌->记录登录状态->获取UserInfo

问题:如果退出?

我觉得退出就是访问OP,取消已登录状态。客户端尽管有ID_TOKEN,但是其已经失效了

基于JWT实现SSO

JWT就是用一种结构化封装的方式来生成token的技术。结构化之后,令牌本身就可以被“塞进”一些有用的信息。其具有一种“自编码”的能力。
注意,JWT跟OAuth 2.0或者OIDC等并没有直接关系,它只是一种结构化的信息存储,可以被用在除了OAuth 2.0或者OIDC以外的任何地方。比如,重置密码的时候,会给你的邮箱发送一个链接,这个链接就需要能够标识出用户是谁、不能篡改、有效期5分钟,这些特征都跟JWT相符合。也就是说,JWT并不是OAuth 2.0协议或OIDC等规范所涵盖的内容。

浏览器实现

在这里插入图片描述
一个关键的点是:

应用1在第2步是要认证并授权的,在相同的session下,应用2在第9步时并不需要认证了,只要授权就可以了

实际上,client2请求oauth/authorize的时候,JSESSIONID与client1请求 oauth/authorize的时候(应该是登录认证通过之后)的JSESSIONID相同,于是认证服务器就识别出此用户已经通过了登录认证,直接跳到授权页

上面这种方式是利用将登陆会话保存到session中的,应用1和应用2返回的JWT令牌是不同的,但是都代表同一个用户
相比共享一套JWT令牌,这种方式更好

app实现

如果说我们应用A是淘宝手机客户端,应用B是天猫手机客户端

那么如何实现SSO呢?
主要的区别就是认证服务器如何识别出当我登录天猫手机客户端的时候,不需要登录认证了?本质就是要保持登录这个会话状态

浏览器中是靠cookie/local storage中的JSESSIONID
那么在app中,

思路1:加一个类似OIDC ID_TOKEN,用来标识用户,将其保存起来,标识用户登录状态。

思路2:其可以在app(客户端)上通过共享JWT令牌保存会话关系信息。

const伐伐
关注
  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SpringBoot整合SSO(single sign on)单点登录
08-19
主要介绍了SpringBoot整合SSO(single sign on)单点登录,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Spring Security基于JWT实现SSO单点登录详解
08-25
主要介绍了Spring Security基于JWT实现SSO单点登录详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
单点登录SSO解决方案之SpringSecurity+JWT实现.docx
10-26
单点登录SSO解决方案之SpringSecurity+JWT实现.docx
cas.rar_CAS SSO_single_sso_sso java_单点登录 java
09-20
单点登录的英文名称为Single Sign-On,简写为SSO,它是一个用户认证的过程,允许用户一次性进行认证之后,就访问系统中不同的应用;而不需要访问每个应用时,都重新输入密码。IBM对SSO有一个形象的解释“单点登录、全网漫游”。
CAS单点登录SSO( Single Sign-On)
04-26
NULL 博文链接:https://572327713.iteye.com/blog/2356519
cassaml_揭穿SAML神话和误解
cuyi7076的博客
06-21 2860
作为新手,SAML规范正在与现有的单点登录技术,身份验证服务和目录服务进行比较。 SAML是可能利用身份验证协议的第一个协议,以利用Web基础结构,其中XML数据通过TCP / IP网络上的HTTP协议移动。 OASIS小组将SAML开发为用于交换安全信息的基于XML的框架。 SAML与其他安全方法的不同之处主要在于,SAML以关于主题的断言形式表示安全性。 其他方法使用中央证书颁发机构来...
SSOCAS、OAuth、OIDC
LawssssCat的博客
04-23 1459
Authorization authZ —— 授权 What can you do。Authentication authN —— 认证 Who are you。todo 整理关键词:oauth、auth、认证、…
web在线用户简单实现
thw
12-06 196
◆ 创建一个静态工厂类保存在线用户,示例代码如下: public class OnlineUserManager{ private static ServletContext servletContext=null; /* * 在线用户集合 * String: 登录用户session id * UserBean: 登录用户对象 */ private static Ma...
实例详解:Java使用JWT和Redis实现高效单点登录(SSO)
Da_zhenzai的博客
10-25 2115
单点登录Single Sign-On,简称SSO)是一种身份验证和访问控制机制,允许用户使用一组凭证(如登录名和密码)登录到多个应用程序中,而无需为每个应用程序单独进行身份验证。用户只需要登录一次就可以访问所有系统的应用和资源。相对于传统的每个系统都需要登录一次的方式,单点登录可以提高用户体验,降低用户的登录成本。在本文中,我们将通过使用JWT(JSON Web Token)和Redis来实现SSO功能,并提供详细的Java代码实例。通过结合JWT和Redis,我们可以轻松实现单点登录SSO)的功能。
WEB安全(十六)单点登录的基本实现
jinyangjie的博客
02-18 3316
概述 单点登录(SingleSign-On,SSO)是一种帮助用户快捷访问网络中多个站点的安全通信技术。单点登录系统基于一种安全的通信协议,该协议通过多个系统之间的用户身份信息的交换来实现单点登录。 使用单点登录系统时,用户只需要登录一次,就可以访问多个系统,不需要记忆多个口令密码。单点登录使用户可以快速访问网络,从而提高工作效率,同时也能帮助提高系统的安全性。 单点登录 与 单点登出 类似于Session的思路,需要将服务器生成的SessionId存储在服务器内存中,登录验证通过后,返回SessionId
基于CASWEB单点登录(sso)服务端及其tomcat/nginx https配置
MJ的博客
10-27 2099
一、关于SSO单点登录 单点登录sso实现常见的有Oauth2(当前主流,较复杂)和CAS(Center Authentication Server),它们的区别。这里先研究一把apereo实现CAS SSO。 二、CAS基本原理,参考https://www.jianshu.com/p/b7de8e4cf217 访问服务:SSO 客户端发送请求访问应用系统提供的服务资源。 定向认证:SSO 客户端会重定向用户请求到 SSO 服务器。 用户认证:用户身份认证。 发放票据...
最简单的web单点登录SSO
小楼一夜听春雨
09-21 1万+
单点登录示例地址【GitHub】 Fay Sso单点登录如此的简单,本示例支持IE9+,IE8也可以实现)Test 让我们直接先来测试这个例子,然后看下我实现的想法,你会发现它是如此的简单! 下载这个例子,你需要下载整个fay-sso文件夹,因为fay-uc中的lib被fay-admin中的main.js使用了(当然也可以单独打包给fay-admin使用,因为我们项
Web应用跨域访问解决方案汇总
热门推荐
瞧字不识
11-02 4万+
做过跨越多个网站的Ajax开发的朋友都知道,如果在A网站中,我们希望使用Ajax来获得B网站中的特定内容,如果A网站与B网站不在同一个域中,那么就出现了跨域访问问题。Ajax的跨域访问问题是现有的Ajax开发人员比较常遇到的问题。 IE对于跨域访问的处理是,弹出警告框,提醒用户。如果用户将该网站纳入可信任网站,或者调低安全级别,那么这个问题IE就不会在提醒你。 FireFox等其它非微软的浏览
vue 若依系统单点登录
jie_ge_a的博客
07-18 3607
vue 若依系统单点登录
SSO、OAuth2、JWTCAS、OpenID、LDAP、淘宝微信登录一网打尽
babay550的博客
11-16 4912
SSO、OAuth2、JWTCAS、OpenID、LDAP、淘宝微信登录一网打尽
java saml_如何使用Java Single Sign-On SAML支持实施企业用户管理(并保持活动状态)...
danpu0978的博客
05-23 948
java saml 我们如何添加Single Sign-On SAML支持并在生产中对其进行调试 团队可能会使用数十种服务和应用程序来完成任务。 每个服务都要求他们注册并记住复杂的密码,而最终每个服务的内部所有者必须手动处理登录凭据和帐户设置。 这就是SAML的用武之地,旨在帮助公司和服务拥有更好的身份验证流程,而无需手动注册每个人。 以下文章将介绍如何在公司中实施SAML单一登录,并...
SSO、OAuth2、JWTCAS、OpenID、LDAP、RBAC
最新发布
summer_fish的专栏
11-08 1747
单点登录Single Sign On),简称为 SSO,是比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统要实现SSO,需要构建以下两个主要内容:OAuth2.0是OAuth协议的延续版本,但不向前兼容OAuth 1.0(即完全废止了OAuth1.0)。OAuth 2.0关注客户端开发者的简易性。要么通过组织在资源拥有者和HTTP服务商之间的被批准的交互动作代表用户,要么允许第三方应用代表用户获得访问的权限。
基于CAS搭建OIDC认证授权协议
BecauseSy的博客
05-07 7003
OIDC协议作为以OAuth2为基础衍生的出新的认证授权协议,将OAuth2的授权协议与OpenId的认证协议相结合,从而生产的新的sso协议OIDC协议(OpenID Connect)。本文讲解的是基于CAS 5.1.X 实现OIDC搭建。 *本文章需要读者自行搭建CAS服务端 OIDC主要术语说明:http://openid.net/specs/openid-connect-basi...
jwt sso单点登录
06-01
JWT(JSON Web Token)是一种轻量级的身份验证和授权机制,可以用于实现 SSOSingle Sign-On)单点登录。 在使用 JWT 实现 SSO 单点登录时,用户登录后,认证中心会生成一个 JWT Token,并将 Token 发送给用户客户端。用户在访问其他应用时,只需要在请求头中携带 JWT Token,其他应用就可以通过验证 JWT Token 来判断用户的身份,从而实现单点登录。 需要注意的是,为了保证安全性,JWT Token 必须使用私钥签名,并且在每次验证时都需要对 Token 进行签名验证。同时,JWT Token 的有效期也需要控制在一定范围内,以保证安全性和用户体验的平衡。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值