SSO单点登录和OAuth2.0区别

已于 2023-10-09 15:23:26 修改
阅读量109 收藏
点赞数
分类专栏: 面试 架构 文章标签: web安全
于 2023-10-09 15:23:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuechuzhixing/article/details/133703609
版权

一、概述

SSO是Single Sign On的缩写,OAuth是Open Authority的缩写,这两者都是使用令牌的方式来代替用户密码访问应用。流程上来说他们非常相似,但概念上又十分不同。SSO大家应该比较熟悉,它将登录认证和业务系统分离,使用独立的登录中心,实现了在登录中心登录后,所有相关的业务系统都能免登录访问资源。OAuth2.0原理可能比较陌生,但平时用的却很多,比如访问某网站想留言又不想注册时使用了微信授权。以上两者,你在业务系统中都没有账号和密码,账号密码是存放在登录中心或微信服务器中的,这就是所谓的使用令牌代替账号密码访问应用。

二、SSO

两者有很多相似之处,下面我们来解释一下这个过程。先来讲解SSO,通过SSO对比OAuth2.0,才比较好理解OAuth2.0的原理。SSO的实现有很多框架,比如CAS框架,以下是CAS框架的官方流程图。特别注意:SSO是一种思想,而CAS只是实现这种思想的一种框架而已
 

图片


上面的流程大概为:

  • 用户输入网址进入业务系统Protected App,系统发现用户未登录,将用户重定向到单点登录系统CAS Server,并带上自身地址service参数

  • 用户浏览器重定向到单点登录系统,系统检查该用户是否登录,这是SSO(这里是CAS)系统的第一个接口,该接口如果用户未登录,则将用户重定向到登录界面,如果已登录,则设置全局session,并重定向到业务系统

  • 用户填写密码后提交登录,注意此时的登录界面是SSO系统提供的,只有SSO系统保存了用户的密码,

  • SSO系统验证密码是否正确,若正确则重定向到业务系统,并带上SSO系统的签发的ticket

  • 浏览器重定向到业务系统的登录接口,这个登录接口是不需要密码的,而是带上SSO的ticket,业务系统拿着ticket请求SSO系统,获取用户信息。并设置局部session,表示登录成功返回给浏览器sessionId(tomcat中叫JSESSIONID)

  • 之后所有的交互用sessionId与业务系统交互即可

最常见的例子是,我们打开淘宝APP,首页就会有天猫、聚划算等服务的链接,当你点击以后就直接跳过去了,并没有让你再登录一次

图片

三、OAuth2.0

OAuth2.0有多种模式,这里讲的是OAuth2.0授权码模式,OAuth2.0的流程跟SSO差不多,在OAuth2中,有授权服务器、资源服务器、客户端这样几个角色,当我们用它来实现SSO的时候是不需要资源服务器这个角色的,有授权服务器和客户端就够了。授权服务器当然是用来做认证的,客户端就是各个应用系统,我们只需要登录成功后拿到用户信息以及用户所拥有的权限即可

插播一条,如果你近期准备面试跳槽,建议在ddkk.com在线刷题,涵盖 1万+ 道 Java 面试题,几乎覆盖了所有主流技术面试题,还有市面上最全的技术栈500套,精品系列教程,免费提供。

  • 用户在某网站上点击使用微信授权,这里的某网站就类似业务系统,微信授权服务器就类似单点登录系统

  • 之后微信授权服务器返回一个确认授权页面,类似登录界面,这个页面当然是微信的而不是业务系统的

  • 用户确认授权,类似填写了账号和密码,提交后微信鉴权并返回一个ticket,并重定向业务系统。

  • 业务系统带上ticket访问微信服务器,微信服务器返回正式的token,业务系统就可以使用token获取用户信息了

简介一下OAuth2.0的四种模式:

1、 授权码(authorization-code);

授权码(authorization code)方式,指的是第三方应用先申请一个授权码,然后再用该码获取令牌。这种方式是最常用的流程,安全性也最高,它适用于那些有后端的 Web 应用。授权码通过前端传送,令牌则是储存在后端,而且所有与资源服务器的通信都在后端完成。这样的前后端分离,可以避免令牌泄漏。

1、 隐藏式(implicit);

有些Web 应用是纯前端应用,没有后端。这时就不能用上面的方式了,必须将令牌储存在前端。RFC 6749 就规定了第二种方式,允许直接向前端颁发令牌。这种方式没有授权码这个中间步骤,所以称为(授权码)“隐藏式”(implicit)

1、 密码式(password);

如果你高度信任某个应用,RFC 6749 也允许用户把用户名和密码,直接告诉该应用。该应用就使用你的密码,申请令牌,这种方式称为"密码式"(password)。

1、 客户端凭证(clientcredentials);

最后一种方式是凭证式(client credentials),适用于没有前端的命令行应用,即在命令行下请求令牌。

简单流程

图片

详细的OAuth2.0讲解

四、说一下几个名词的区别( Spring Security 、Shiro、OAuth2、JWT、SSO)

首先,SSO是一种思想,或者说是一种解决方案,是抽象的,我们要做的就是按照它的这种思想去实现它

其次,OAuth2是用来允许用户授权第三方应用访问他在另一个服务器上的资源的一种协议,它不是用来做单点登录的,但我们可以利用它来实现单点登录。在本例实现SSO的过程中,受保护的资源就是用户的信息(包括,用户的基本信息,以及用户所具有的权限),而我们想要访问这这一资源就需要用户登录并授权,OAuth2服务端负责令牌的发放等操作,这令牌的生成我们采用JWT,也就是说JWT是用来承载用户的Access_Token的

最后,Spring Security、Shiro是用于安全访问的,用来做访问权限控制,都是一个用Java写的框架

莫轻言舞
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OAuthSSO简介
qq_41882646的博客
03-07 1000
OAuth出现的背景: 作为用户,当我们去一个新的网站或者使用一个新的APP(购物网站,应用,小游戏app等),一般都需要你注册帐号,方便保存你的相关信息。这就包括: 1.用户帐号登录(身份验证); 2.用户信息管理(用户名称,电话,邮箱,地址等) 这样就出现了这样的问题: 1.用户需要记住很多组账号...
开源多租户IDaas产品-MaxKey 登录认证系统 v3.5.6GA官方源代码
09-07
MaxKey登录认证系统,谐音马克思的钥匙寓意是最大钥匙,是业界领先的IAM身份管理和认证产品,支持OAuth 2.x/OpenID Connect、SAML 2.0、JWT、CAS、SCIM等标准协议,提供安全、标准和开放的用户身份管理(IDM)、身份认证(AM)、登录(SSO)、RBAC权限管理和资源管理等。 提供用户生命周期管理,支持SCIM 2协议;开箱即用的连接器(Connector)实现身份供给同步。 简化微软Active Directory域控、标准LDAP服务器机构和账号管理,密码自助服务重置密码。 认证多租户功能,支持集团下多企业独立管理或企业下不同部门数据隔离的,降低运维成本。 认证中心具有平台无关性、环境多样性,支持Web、手机、移动设备等, 如Apple iOS,Andriod等,将认证能力从B/S到移动应用全面覆盖。 基于Java EE平台,微服务架构,采用Spring、MySQL、Tomcat、Redis、MQ等开源技术,扩展性强。
springboot+oauth2登录.rar
04-13
springboot2.0+oauth搭建的SSO登录的源码,仅仅实现登录功能,无需积分即可下载,如有问题请留言
sa-token:这可能是史上功能最全的Java权限认证框架!目前已集成-登录验证,权限验证,会话会话,踢人下线,分布式会话,登录OAuth2.0,记住我模式,模拟公众账号,临时身份切换,集成Redis,多账号认证体系,前后台分离模式,注解式鉴权,路由拦截式鉴权,花式令牌生成,自动续签,同端互斥登录,会话治理,密码加密,jwt集成,Spring集成..
04-02
sa-token v1.15.2 这可能是史上功能最全的Java权限认证框架! 在线资料 Sa-Token是什么? sa-token是一个轻量级Java权限认证框架,主要解决:登录认证,权限认证,会话会话,登录OAuth2.0等长度权限相关问题 框架针对踢人下线,自动续签,前后台分离,分散会话……等常见业务进行N多适应,通过sa-token,你可以以一种极简的方式实现系统的权限认证部分 与其他权限认证框架索引, sa-token具有以下优点: 简:可零配置启动框架,真正的开箱即用,规定上手 强大:目前已集成数十项权限相关特性,涵盖了大部分业务场景的解决方案 易用:如丝般顺滑的API调用,大量高级特性统统立即一行代码即可实现 高扩展:几乎所有组件都提供了扩展接口,90%以上的逻辑都可以按需重写 有了sa-token,你所有的权限认证问题,都不再是问题! Sa-Token能做什么?
SSO 登录OAuth2.0 区别
最新发布
03-22 688
在微服务时代,用户需要在多个应用程序和服务之间进行无缝切换,同时保持其登录状态。我们可以通过登录SSO)或者 OAuth2.0 等身份验证和授权协议来实现这一目标。
登录JWT、CAS、Oauth2、SAML几种技术方案对比分析
11-19
JAVA开发登录功能,需要对点的技术栈做选型,本文详细描述几种常用的sso技术栈 一、基于JWT登录 二、基于CAS登录 三、基于OAuth 2.0登录 四、基于SAML协议登录 五、sso登录技术选型
MaxKey登录认证系统是业界领先的IAM-IDaas身份管理和认证产品
05-30
MaxKey登录认证系统是业界领先的IAM-IDaas身份管理和认证产品,支持OAuth2.x、OpenID Connect、SAML2.0、JWT、CAS、SCIM等SSO标准协议,基于RBAC统一权限控制,实现用户生命周期管理,开源、安全、自主可控。
MaxKey 登录认证系统 v2.1.0GA官方源代码
08-17
MaxKey(马克思的钥匙)登录认证系统(Single Sign On System),寓意是最大钥匙,是业界领先的企业级IAM身份管理和身份认证产品,支持OAuth 2.0/OpenID Connect、SAML 2.0、JWT、CAS、SCIM等标准协议,提供简、标准、安全和开放的用户身份管理(IDM)、身份认证(AM)、登录(SSO)、RBAC权限管理和资源管理等。
SSOOauth2的区别
czm_ob的博客
10-11 2868
SSO, single sign on,登录sso多用于多个应用之间的切换,在其中一个系统中登录, 切换到另一个系统的时候,不必再次输入用户名密码。
基于Oauth2.0实现SSO点认证
zh5220909的博客
12-24 2303
什么是点? 借用百度百科的话: 登录(Single Sign On),简称为 SSO,是比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。 登录图解: 什么是Oauth2.0? OAuth 就是一种授权机制。数据的所有者告诉系统,同意授权第三方应用进入系统,获取这些数据。系统从而产生一个短期的进入令牌(token),用来代替密码,供第三方应用使用。 引用阮一峰老师的文章:OAuth 2.0 的四种方式 - 阮一
SSO登录OAuth2.0 区别
何哥的博客
11-06 603
SSO是Single Sign On(登录)的缩写,OAuth是Open Authority(开放授权),这两者都是使用令牌的方式来代替用户密码访问应用。流程上来说他们非常相似,但概念上又十分不同。很多人会将其混为一谈,其实这两个还是有些区别的。
Oauth2.0 密码模式客户端及模拟服务端手动实现
07-18
Oauth2.0 密码模式登录客户端及服务端实现,导入MAVEN工程,导入Client1-root ,包含7个子工程,client1-web,client2-web是客户端项目,sessmgr是服务端,运行这3个项目 ,可测试登录功能
基于SpringBoot 2.0.3.RELEASE+Mybatis+Redis的SSO登录系统
06-27
基于SpringBoot 2.0.3 RELEASE+Mybatis+Redis的SSO登录系统
spring security 基于oauth 2.0 实现 sso 登录Demo.zip
06-12
spring security 基于oauth 2.0 实现 sso 登录Demo 使用 spring security 基于oauth 2.0 实现 sso 登录Demo spring boot + spring security + spring security oauth
oauth2 登录 认证授权 整理版
01-15
oauth2 登录 的简解决方案 提供给需要的同学参考
帝国cms oauth2.0 登录sso
04-28
站在巨人的肩膀上进行的测试,线上也有很多例子,但是不知道你们看不看的懂,反正我是看懂了,并做了些修改,应该都能看得懂了
spring security + oauth 2.0 实现登录、认证授权
06-26
spring security + oauth 2.0 实现登录、认证授权,直接贴代码
什么是登录?什么又是 OAuth2.0?
m0_37322399的博客
09-23 365
至此,相信你应该知道什么是登录,什么是 JWT ,什么是 OAuth2.0 协议了吧登录是一种思想JWT 是一种 Token 的形式OAuth2.0 协议是一种授权协议登录可以用OAuth2.0 协议来进行实现,实现 OAuth2.0 协议过程中,使用到的 Token 就可以使用JWT的方式来生成 Token。
Spring Cloud云架构 - SSO登录OAuth2.0 登出流程(3)
06-09
好的,我会为您解答。在上一篇博客中,我们已经介绍了OAuth2.0的登录流程以及登录的实现方式。接下来,我将为您介绍OAuth2.0的登出流程。 在OAuth2.0的登出流程中,与登录流程类似,也需要涉及到三个角色:用户、客户端和认证服务器。下面是OAuth2.0的登出流程: 1. 用户在客户端应用程序中发起登出请求,客户端应用程序将请求转发给认证服务器。 2. 认证服务器接收到登出请求后,会将用户的会话标识从认证服务器的存储中删除,并向客户端应用程序发回响应,告诉客户端应用程序用户已经登出。 3. 客户端应用程序接收到响应后,会清除本地存储的用户会话信息,并将用户重定向到认证服务器的登出页面。 4. 当用户在认证服务器登出页面上点击确认登出后,认证服务器会将用户重定向到客户端应用程序的登出回调URL,并在URL中包含一个参数,表示用户已经登出。 5. 客户端应用程序接收到认证服务器的登出回调请求后,会清除本地存储的用户会话信息,并重定向用户到应用程序的登录页面。 需要注意的是,OAuth2.0的登出流程中并没有提供点登出的实现方式,因为OAuth2.0本身并不支持点登出。如果需要实现点登出,可以借助于其他的技术手段,比如使用Redis等缓存技术来实现点登出。 好的,以上就是OAuth2.0的登出流程。希望对您有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值