推荐-UAA和sso的原理与分析 扩展至 jwt和auth2 -单点登录详解

已于 2022-05-05 13:42:53 修改
阅读量2.1k 收藏 2
点赞数
分类专栏: java-go-微服务SOA HCIE之路 文章标签: sso uaa
于 2021-09-05 07:39:39 首次发布
原文链接:https://blog.csdn.net/yejingtao703/article/details/78847471
版权

一 sso单点登录原理:

https://www.cnblogs.com/ywlaker/p/6113927.html#!comments
基础知识:http是无状态协议:
但这也同时意味着,任何用户都能通过浏览器访问服务器资源,如果想保护服务器的某些资源,必须限制浏览器请求;要限制浏览器请求,必须鉴别浏览器请求,响应合法请求,忽略非法请求;要鉴别浏览器请求,必须清楚浏览器请求状态。既然http协议无状态,那就让服务器和浏览器共同维护一个状态吧!这就是会话机制

什么是单点登录?单点登录全称Single Sign On(以下简称SSO),是指在多系统应用群中登录一个系统,便可在其他所有系统中得到授权而无需再次登录,包括单点登录与单点注销两部分

1、登录
  相比于单系统登录,sso需要一个独立的认证中心,只有认证中心能接受用户的用户名密码等安全信息,其他系统不提供登录入口,只接受认证中心的间接授权。间接授权通过令牌实现,sso认证中心验证用户的用户名密码没问题,创建授权令牌,在接下来的跳转过程中,授权令牌作为参数发送给各个子系统,子系统拿到令牌,即得到了授权,可以借此创建局部会话,局部会话登录方式与单系统的登录方式相同。这个过程,也就是单点登录的原理,用下图说明
在这里插入图片描述
下面对上图简要描述

用户访问系统1的受保护资源,系统1发现用户未登录,跳转至sso认证中心,并将自己的地址作为参数
sso认证中心发现用户未登录,将用户引导至登录页面
用户输入用户名密码提交登录申请
sso认证中心校验用户信息,创建用户与sso认证中心之间的会话,称为全局会话,同时创建授权令牌
sso认证中心带着令牌跳转会最初的请求地址(系统1)
系统1拿到令牌,去sso认证中心校验令牌是否有效
sso认证中心校验令牌,返回有效,注册系统1
系统1使用该令牌创建与用户的会话,称为局部会话,返回受保护资源
用户访问系统2的受保护资源
系统2发现用户未登录,跳转至sso认证中心,并将自己的地址作为参数
sso认证中心发现用户已登录,跳转回系统2的地址,并附上令牌
系统2拿到令牌,去sso认证中心校验令牌是否有效
sso认证中心校验令牌,返回有效,注册系统2
系统2使用该令牌创建与用户的局部会话,返回受保护资源
  用户登录成功之后,会与sso认证中心及各个子系统建立会话,用户与sso认证中心建立的会话称为全局会话,用户与各个子系统建立的会话称为局部会话,局部会话建立之后,用户访问子系统受保护资源将不再通过sso认证中心,全局会话与局部会话有如下约束关系

局部会话存在,全局会话一定存在
全局会话存在,局部会话不一定存在
全局会话销毁,局部会话必须销毁
  你可以通过博客园、百度、csdn、淘宝等网站的登录过程加深对单点登录的理解,注意观察登录过程中的跳转url与参数

2、注销
  单点登录自然也要单点注销,在一个子系统中注销,所有子系统的会话都将被销毁,用下面的图来说明
  在这里插入图片描述
sso认证中心一直监听全局会话的状态,一旦全局会话销毁,监听器将通知所有注册系统执行注销操作

下面对上图简要说明

用户向系统1发起注销请求
系统1根据用户与系统1建立的会话id拿到令牌,向sso认证中心发起注销请求
sso认证中心校验令牌有效,销毁全局会话,同时取出所有用此令牌注册的系统地址
sso认证中心向所有注册系统发起注销请求
各注册系统接收sso认证中心的注销请求,销毁局部会话
sso认证中心引导用户至登录页面

二 UAA原理

https://www.cnblogs.com/yorkwu/p/9572151.html

在这里插入图片描述

三 UAA和sso的区别和联系

https://www.jianshu.com/p/50134aa664d9 # uaa和sso概念合集 哈哈不错

https://blog.csdn.net/yejingtao703/article/details/78847471 # 对比uaa和sso

uaa即:
OAuth是Open Authority的缩写,是令牌代替用户密码访问应用的又一标准,前面一期介绍过SSO单点登录(SpringBoot模拟单点登录),也是令牌登陆的一种方式。
OAuth2.0最主要的是授权码方式和简单方式,简单方式就是省略了上面客户端获取code然后交换token的过程。

OAuth2.0网上资料经常拿来跟SSO混为一谈,个人觉得这两个概念一定要区分开,根本是两回事。

SSO是为了解决一个用户在鉴权服务器登陆过一次以后,可以在任何应用中畅通无阻,一次登陆,多系统访问,操作用户是实打实的该应用的官方用户,用户的权限和分域以鉴权服务器的存储为准。

OAuth2.0 解决的是通过令牌获取某个系统的操作权限,因为有 clientId 的标识,一次登陆只能对该系统生效,第三方应用的操作用户不是鉴权系统的官方用户,授权权限鉴权中心可以做限制。
————————————————
版权声明:本文为CSDN博主「牛麦康纳」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/yejingtao703/article/details/78847471

四 扩展 有基础可以直接阅读

*推荐文章 有基础可以直接阅读此文章 OAuth2实现单点登录SSO: *
https://www.cnblogs.com/cjsblog/p/10548022.html

推荐文章2:Spring Cloud Gateway + Oauth2 + SSO搭建微服务的统一认证授权中心
https://blog.csdn.net/LarrYFinal/article/details/115439401

仅仅是概念对比 shiro、Spring Security、jwt、oauth2 概念比较:
https://blog.csdn.net/qq_16946803/article/details/108408170

知乎auth2图:https://zhuanlan.zhihu.com/p/58491095
在这里插入图片描述

yuezhilangniao
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JWT及OAuth2
aini59852369的博客
03-31 362
一、跨域认证的问题 互联网服务离不开用户认证。一般流程是下面这样。 1、用户向服务器发送用户名和密码。 2、服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等等。 3、服务器向用户返回一个 session_id,写入用户的 Cookie。 4、用户随后的每一次请求,都会通过 Cookie,将 session_id 传回服务器。 5、服务器收到 sessio...
JWT和OAuth2.0
Kard的博客
12-31 8326
JWT是一种认证协议,提供了一种用于发布接入令牌(Access Token),并对发布的签名接入令牌进行验证的方法。SSO私钥加密token。应用端公钥解密token。 OAuth2.0是一种授权框架,提供了一套详细的授权机制(指导)。用户或应用可以通过公开的或私有的设置,授权第三方应用访问特定资源。
OAuth2 vs JWT,到底怎么选?,java架构师面试宝典和答案
最新发布
m0_60567796的博客
03-29 857
在这里,由于面试中MySQL问的比较多,因此也就在此以MySQL为例为大家总结分享。但是你要学习的往往不止这一点,还有一些主流框架的使用,Spring源码的学习,Mybatis源码的学习等等都是需要掌握的,我也把这些知识点都整理起来了24b (备注Java)**[外链图片转存中…(img-UJ6MYTqZ-1711713716991)]在这里,由于面试中MySQL问的比较多,因此也就在此以MySQL为例为大家总结分享。
auth2 与 jwt
weixin_34144450的博客
06-19 198
auth2 与 jwt 转载于:https://www.cnblogs.com/cuiqq/p/11052931.html
【方向盘】通俗易懂版讲解JWT和OAuth2,以及他俩的区别和联系(Token鉴权解决方案)(中)
ywb201314的专栏
09-27 668
【方向盘】通俗易懂版讲解JWT和OAuth2,以及他俩的区别和联系(Token鉴权解决方案)(中)
OAuth2+JWT新一代认证技术
a154555的博客
09-19 3045
认证方式: 我们知道,http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据http协议,我们并不能知道是哪个用户发出的请求,所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的应用就能识别请求来自哪个用户了,这就是传统的基于session认证。
微服务实现单点登录
m0_60875109的博客
01-03 1528
1
xm-uaa:XM ^ online 2-用户帐户和身份验证服务器
03-31
这也是JHipster用户帐户和身份验证(UAA)服务器,有关如何使用OAuth2保护JHipster微服务的详细信息,请参阅[使用UAA进行微服务安全]。 此应用程序配置为使用Consul进行服务发现和配置。 在启动时,如果无法通过...
java后端源码部署-uaa:CloudFoundry用户帐户和身份验证(UAA)服务器
06-05
java源码开发CloudFoundry 用户帐户和身份验证 (UAA) 服务器 UAA 是一种多租户身份管理服务,用于 Cloud ...UAA-APIs 文档中定义的 API。 总结一下: OAuth2 /oauth/authorize 和 /oauth/token 端点
shiro-uaa轻量级用户账号和身份认证服务 v1.0.7.zip
03-27
shiro-uaa轻量级用户账号和身份认证服务 v1.0.7.zip
omniauth-uaa-oauth2
04-29
将以下内容添加到您的Gemfile : gem 'omniauth-uaa-oauth2'有关用法示例,请参见: examples/config.ru示例代码 警告:与omniauth-oauth2 gem不同,该gem不支持omniauth-oauth2 '安全参数。 您的omniauth-uaa-...
spring security oauth2 实现jwt sso
11-14
该资源实现了一个sso单点登陆的功能,类似于在淘宝网登陆之后可以不需要登陆天猫即可访问天猫网;使用了spring security oauth2以及jwt
uaa:UAA(云代工厂的认证机制)
07-09
# CloudFoundry 用户帐户和身份验证 (UAA) 服务器UAA 是 Cloud Foundry 的身份管理服务。 它的主要角色是作为 OAuth2 提供者,为客户端应用程序在代表 Cloud Foundry 用户行事时发布令牌以供使用。 它还可以使用 Cloud Foundry 凭据对用户进行身份验证,并且可以使用这些凭据(或其他凭据)充当 SSO 服务。 它具有用于管理用户帐户和注册 OAuth2 客户端的端点,以及各种其他管理功能。 坐标 团队: olds@vmware.com ( olds@vmware.com ) 戴夫·赛尔 ( dsyer@vmware.com ) 卢克·泰勒 ( ltaylor@vmware.com ) Joel D'Sa ( jdsa@vmware.com ) 维迪亚·瓦尔米基纳坦 技术论坛: 文档: 快速开始 如果这行得通,那么您正
cf-uaa-lib:Ruby客户端API,用于访问Cloud Foundry用户帐户和身份验证服务
05-26
$ gem install cf-uaa-lib 从源代码构建 $ bundle install $ gem build cf-uaa-lib.gemspec $ gem install cf-uaa-lib<version>.gem 使用宝石 #!/usr/bin/env ruby require 'uaa' token_issuer = CF::UAA::...
Spring Cloud OAuth2和JWT保护微服务.docx
01-12
在微服务中,可以利用 JWT 实现单点登录。 四、案例工程架构 工程架构图包括三个工程:eureka-server、auth-service 和 user-service。 1. eureka-server:注册服务中心,端口 8761。 2. auth-service:负责授权...
wanxin-p2p:万信金融后台管理
02-02
uaa-service) 53020统一账号服务(wanxinp2p-account-service) 53030用户中心服务(wanxinp2p-consumer-service) 53050交易中心服务(wanxinp2p-transaction-service) 53060存管代理服务(wa
OAuth2 vs JWT,到底怎么选?
m0_71777195的博客
06-15 3710
本文会详细描述两种通用的保证API安全性的方法:OAuth2和JSON Web Token (JWT)假设:要比较JWT和OAuth2?首先要明白一点就是,这两个根本没有可比性,是两个完全不同的东西。先来搞清楚JWT和OAuth2究竟是干什么的~JWT在标准中是这么定义的:JWT是一种安全标准。基本思路就是用户提供用户名和密码给认证服务器,服务器验证用户提交信息信息的合法性;如果验证成功,会产生并返回一个Token(令牌),用户可以使用这个token访问服务器上受保护的资源。一个token的例子: 一个
UAA 和login-server
boluobn的专栏
06-26 2723
概述 UAA的设计理念是要实现一个统一的用户认证和权限管理中心,设计思想和全部API见官方的UAA文档 下图说明了各种组件在UAA中的配合关系 详细的去看文档。在这里仅仅提一下怎么给cloudfoundry加上自定义的权限验证,比如ldap 安装和配置 天生的跨平台JAV,安装上应该不会有问题。 至于UAA的配置 参见这里 实践LDAP登录
定制UAA登录界面
PredixCN的博客
08-10 5356
作者:唐翊国,开发者生态资深经理,GE数字集团 23年工作经验,长期在杜邦、欧文斯科宁、庄信万丰、通用电气医疗等从事制造业信息化工作,规划、实施了大量MES、SAP ERP、LIMS、BPM等项目,积累了丰富的制造业数字化转型经验。   如果您还没有Predix试用帐号,请访问 https://supportcentral.ge.com/esurvey/GE_survey/takeSurv
spring security uaa
07-15
2. 单点登录SSO):UAA 支持单点登录,用户只需要进行一次登录,就可以在多个关联的应用程序中共享身份认证信息。 3. OAuth 2.0 认证和授权:UAA 实现了 OAuth 2.0 协议,可以作为授权服务器来颁发访问令牌和刷新...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值