单点登录如何转到自定义url_OAuth是什么?如何搭建一个单点登录系统?

最新推荐文章于 2022-06-27 15:25:43 发布
最新推荐文章于 2022-06-27 15:25:43 发布
阅读量226 收藏
点赞数
文章标签: 单点登录如何转到自定义url 单点登录是什么意思

前言:

OAuth是Open Authorization的简写。OAuth协议为用户资源的授权提供了一个安全的、开放而又简易的标准。同时,任何第三方都可以使用OAUTH认证服务,任何服务提供商都可以实现自身的OAuth认证服务,因而OAuth是开放的。业界提供了OAuth的多种实现如PHP、JavaScript,Java,Ruby等各种语言开发包,大大节约了程序员的时间,因而OAuth是简易的。

OAuth2是OAuth协议的2.0版本,不向后兼容OAuth1.0。

OAuth 2.0定义了四种授权方式,其中的授权码模式(authorization code)是功能最完整、流程最严密的授权模式。

需要知道的基础概念

首先需要了解几个基本的服务方:

(1) Third-party application:第三方应用程序,又称"客户端"(client),比如禅道

(2)Resource Owner:资源所有者,又称"用户"(user),即登录用户。

(3)User Agent:用户代理,本文中就是指浏览器。

(4)Authorization server:认证服务器,即服务提供商专门用来处理认证的服务器或提供认证服务的提供商,如:赛赋IDaaS服务

(5)Resource server:资源服务器,即服务提供商存放用户生成的资源的服务器。它与认证服务器,可以是同一台服务器,也可以是不同的服务器,一般来说是同一个服务商,如:赛赋IDaaS服务。

这些概念看起来比较复杂,用一张简单的图来示例可能更为清楚些“

0d6df80d157205e43957a1cebe6ebbf6.png

认证服务方提供的几个地址

请求授权接口http://www.cipherchina.com:8443/cipher/oauth/authorize,用于获取授权码auth code

请求token接口http://www.cipherchina.com:8443/cipher/oauth/access_token,通过授权码请求临token

获取用户信息的接口http://www.cipherchina.com:8443/cipher/oauth/user,通过token向资源服务器请求用户的信息

认证的流程

OAuth 2.0定义了四种授权方式,赛赋IDaaS使了其中的授权码模式(authorization code),也是最完整的流程, 以下为流程图:

a4d301c13b175fc2180d232f52ae856d.png

IDP服务地址赛赋IDaaS

赛赋科技IDaaS提供线上调试的地址,注册后可以快速理解和配置IDP服务。

注册后,添加Oauth应用,配置指导

配置文档

赛赋IDaaS Oauth应用对接配置指导配置指导链接

Oauth协议的安全设计

OAuth2.0协议是目前被运用最为广泛的一个SSO协议,在协议设计中对各类风险和安全问题进行了严格的评估和设计,开发时应当严格遵循OAuth2.0的安全相关的指导。

其中主要的风险点及解决方法如下:

1:严格验证clientId和redirect_url防止回调域名欺骗

赛赋IDaaS严格地验证clientid注册的应用资源与redirect_url是对应的,否则redirect_url会被伪造成第三方欺诈域名,直接导致赛赋IDaaS返回的授权码Code被泄露;

赛赋IDaaS生成的授权码Code仅一次有效,客户端使用一次后立即失效并且有效期很短,以此保证通过redirect_url浏览器回调传输的授权Code被客户端正常消费后不会被再次使用。

2:检查redirect_url以杜绝XSS跨域攻击

比如构造一个认证请求

redirect_uri = http://api.safesso.cn/OAuth?callback=<script src="http://app.com?getToken.html"></script>

赛赋IDaaS将对redirect_url进行检查禁止特殊字符输入,并且对redirect_url进行全匹配,不做模糊匹配可有效杜绝XSS攻击;

3:随机的State参数防止CSRF

赛赋IDaaS强制要求应用资源使用state参数。

应用资源每次请求生成唯一字符串在请求中放到state参数中,赛赋IDaaS认证成功返回Code会带上state参数,赛赋IDaaS验证state是否是自己生成的唯一串,可以确定这次请求是有赛赋IDaaS真实发出的,不是黑客伪造的请求。

4:密秘并且随机AccessToken

应用资源通过授权码Code直接与赛赋IDaaS服务端进行交互获取AccessToken,不允许AccessToken传给前端直接使用,防止AccessToken在前端被非法截获;

同时,赛赋IDaaS对AccessToken进行了处理以保证AccessToken的信息不可猜测,以防止被猜测得到。

5:Token颁发和时效管理

Token由赛赋IDaaS随机产生,与应用资源和用户账号绑定;

并且刷新失效机制的设计不允许长期有效的Token存在。

相关实现

Oauth第三方应用如何通过Java实现

如你为第三方应用的开发商,或是研发人员,如何让自己的应用快速支持Oauth 2.0 ,以便于和腾讯、微博等认证服务商实现对接,或是和内部的IAM, IDaaS服务,如赛赋等快速集成。

可以参考OAuth2的应用认证Client实现指引

赛赋IDaaS git项目

赛赋IDaaS git项目​github.com

更多信息请关注公众号

e8548d55ba99f3d094f4633108793a58.png
weixin_39637723
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
cas_sso.rar_CAS_CAS SSO_cas文档_sso C_单点登录
09-24
**CAS单点登录系统详解** CAS(Central Authentication Service,中央认证服务)是一种广泛使用的开源身份验证框架,旨在提供一种安全的单点登录(Single Sign-On,SSO)解决方案。SSO允许用户通过一次登录,就能...
Sa-Token 单点登录 SSO模式二 URL重定向传播会话示例
github_35735591的博客
05-28 2872
登录认证鉴权在日常开发中经常遇到,So-Token简介中号称轻量级 Java 权限认证框架,那本篇文章来常常鲜,写一个简单的登录认证
SSO单点登录如何转到自定义URL
weixin_33753003的博客
08-24 815
2019独角兽企业重金招聘Python工程师标准>>> ...
通过链接跳过登录验证,游客模式访问页面
weixin_61686632的博客
06-27 6427
本文记载的是一个url传递数据给页面的问题想要通过url跳过登录可以在url里面带上一个userName和pwd来传递账号密码,再传递一个modle来传递用户角色;例:直接传递明文账号密码显然不行,我们采用token传递账号密码,将账号密码通过算法加密,设定一个分隔符。浏览器发送请求之前解密给后端;例:代码如下(示例): this.GetParam() 获取url参数值,通过数组形式存储,我们可以用urlcode[0,1,2,…]来调用......
【Spring Security】入门篇-formLogin登录认证模式
qq_42980244的博客
08-14 3280
1.概述 spring security是能够在Web请求级别和方法调用级别处理身份验证(认证who are you?)和授权(批准what can you do?)的安全框架 spring security从两个角度解决安全问题 1.使用Servlet规范中的Filter保护Web请求并限制URL级别的访问; 2.使用spring Aop保护方法调用,借用动态代理和使用通知确保只有在具有相应权限的用户才能访问被保护的方法 今天先来明白一下身份验证,spring security身份验证有两种,H
java使用keytab认证sso_单点认证SSO-相关汇总
weixin_28737399的博客
03-02 455
一、系统默认方式二、自定义相关实现三、OAUTH2实现一、SSO配置先正常完O2OA系统启动,使用xadmin登录系统,点击左上角系统菜单-系统设置,如下图:在基础配置中点击“系统SSO配置”,点击“添加SSO配置”,如下图:注意:xadmin帐号不能用于单点登入二、数据加密工具类(Java)Crypto.javaimport java.io.IOException;import java.ne...
sso单点登录代码.zip
11-21
SSO(Single Sign-On)单点登录是一种身份验证机制,允许用户在一次登录后访问多个相互关联的应用系统,而无需再次进行身份验证。在IT领域,尤其是企业级应用开发中,SSO是提高用户体验和安全性的重要技术。Spring ...
Spring Boot/Angular整合Keycloak实现单点登录功能
08-25
Spring Boot和Angular应用程序之间的单点登录(SSO)功能可以通过集Keycloak实现。Keycloak是一个开源的身份和访问管理解决方案,支持多种身份验证协议,如OpenID Connect、OAuth 2.0和SAML 2.0。它提供了用户注册...
cas单点登录
08-07
综上所述,"cas 单点登录"涉及到了身份验证、系统、安全策略、自定义开发等多个方面,是构建大型网络环境中不可或缺的一部分。通过自定义登录页面和二次开发,我们可以使CAS更好地适应企业的具体需求,提升用户...
CAS单点登录
01-24
总的来说,CAS单点登录为Java开发者提供了一个强大且灵活的工具,简化了多应用系统的身份验证流程,提高了安全性,同时也提升了用户体验。理解和掌握CAS的原理和实践,对于构建高效、安全的企业级应用系统至关重要。
thinksns 如何自定义接口_Spring Security OAuth 2.0 发放令牌接口地址自定义
weixin_39848007的博客
11-26 184
OAuth 2.0 如何获取令牌以密码模式为例,获取 Tokencurl --location --request POST 'http://oauth-server/oauth/token' --header 'Authorization: Basic dGVzdDp0ZXN0' --data-urlencode 'username=admin' --data-urlencode 'passwo...
SpringCloud Security + OAuth2 集之回调地址拓展
nvluco的博客
01-08 3710
SpringCloud Security + OAuth2 集之回调地址拓展 技术栈: springCloud (Finchley.SR2) springBoot(2.0.4) OAuth (2.3.3.RELEASE) Security(2.3.3.RELEASE) 1.问题引出 在实际应用中,单调登录有验证 前端请求中携带的回调地址 与 数据库所存对应客户端ID所允许的回调地址 做验证的过程...
系统设计 - 会话管理 / 单点登录 SSO
weixin_42254177的博客
11-14 281
背景 在企业发展初期,企业使用的系统很少,通常一个或者两个,每个系统都有自己的登录模块,运营人员每天用自己的账号登录,很方便。 但随着企业的发展,用到的系统随之增多,运营人员在操作不同的系统时,需要多次登录,而且每个系统的账号都不一样,这对于运营人员 来说,很不方便。于是,就想到是不是可以在一个系统登录,其他系统就不用登录了呢?这就是单点登录要解决的问题。 单点登录英文全称Single Sign On,简称就是SSO。它的解释是:在多个应用系统中,只需要登录一次,就可以访问其他相互信任的应用系统
单点登录实现之后,各个系统的账号同步怎么做?
nidengxia的博客
09-10 4732
随着企业采购的业务系统增多,各个系统账户独立维护使得运维复杂度上升、手动管理难度加大,此外手动操作也会存在一些安全隐患。因此,企业应该开始思考如何打通“烟囱林立”的业务系统,建立自动化的账号同步体系,实现系统之间的高效安全的连接,从而提升整体运维效率和安全性。 账户管理的痛点 具体来说,企业IT部门在维护复杂的业务系统账户时,首先面对的是手动操作带来的高工作量和高风险——内部应用和人员数量不断增加,人员组织架构调整频繁,内部人员角色(正式员工/临时工、渠道/合作伙伴等)也开始变得复杂,每个业务系统的管理
php实现facebook登陆功能
HAO网络科技工作室
05-27 2819
配置 1、注册一个facebook的账号 你得有一个facebook的账号,然后才能为facebook的开发者。 2、登录https://developers.facebook.com/ 利用你的facebook账号登录进去,你才是一个开发者。得有这个权限,才能开发第三方登录。 3、点击我的应用 4、创建一个属于自己的应用 5、选择类型和详情 6、回到我的应用界面上 就可以看到刚刚创建的应用了。 7、点击应用名字,查看详情 要记下来你的client_id 和
Fackbook 分享
boringiii的博客
11-10 459
注册开发者 Fackbook 开发者平台 进行添加产品,以及配置 Facebook登录中:填写好以下 有效 OAuth 跳转 URI 取消授权回调网址 示例: <script> $(function () { window.fbAsyncInit = function() { FB.init({ appId : 'your - app_id', cook..
一篇文章带你搞定 OAuth 2.0 的四种方式
南淮北安的博客
09-10 1255
已经学习过:理解 OAuth 2.0 一篇文章就够了 知道了 OAuth2.0 是一种授权机制,主要用来颁发令牌(token) 文章目录一、RFC 6749二、第一种授权方式:授权码三、第二种授权方式:隐藏式四、第三种授权方式:密码式五、第四种授权方式:凭证式 一、RFC 6749 OAuth 2.0 的标准是 RFC 6749 文件。该文件先解释了 OAuth 是什么。 OAuth 引入了一个授权层,用来分离两种不同的角色:客户端和资源所有者。…资源所有者同意以后,资源服务器可以向客户端颁发令牌。客户端
2006-京淘Day16
qq_16804847的博客
10-17 4058
1.实现用户模块跳转 2.创建jt-sso单点登录项目 3.了解什么是跨域/同源策略/原理 4.jsonp/cors跨域方式 5.用户信息的校验
实现单点登录Controller跳转到外部链接新页面打开
zhangvalue的博客
09-08 1949
在controller中跳转到外部链接的时候,新的需求需要在新的页面打开。 在jsp页面相应位置加入代码:target="_black",如 <a href="/ap/ssoDSN?id=${ap.id}" target="_black">${ap.title}</a> 第一次点击的时候确实起到了作用,跳转功的新页面确实在新窗口中打开了; 但第二次点击另外的连接时,会将第一次生的新窗口覆盖了,并没有新生第三个新窗口 解决办法: 使用js中的window.open.
淘淘商城:商品详情与单点登录接口实现
- 资源标题提到的"单点登录系统"虽然没有直接提供代码,但可以推测这部分内容可能包括用户身份验证和管理,实现用户在一个系统中登录后,能够在其他关联系统中无需再次登录的便利性。这通常涉及到OAuth、OpenID ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值