主流单点登录SSO技术方案对比分析,JWT、CAS、Oauth2、SAML

已于 2024-10-04 16:34:41 修改
阅读量187 收藏 1
点赞数
分类专栏: 软考-系统架构师 文章标签: 单点登录
于 2024-10-04 14:44:00 首次发布
原文链接:https://www.sohu.com/a/568471978_121389665
版权

单点登录(SSO),英文全称为 Single Sign On。 SSO 是指在多个应用系统中,用户只需要登录一次,就可以访问所有相互信任的应用系统。SSO 服务用于解决同一公司不同业务应用之间的身份认证问题,只需要登录一次,即可访问所有添加的应用。

目前主流的SSO技术有JWT、CAS、Oauth2、SAML等。

一、基于JWT单点登录

Json web token ( JWT ), 是一种用于双方之间传递安全信息的简洁的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的方法用于通信双方之间以 Json 对象的形式安全地传递信息,该 token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。

二、基于CAS单点登录

CAS (Central Authentication Service)中心授权服务,是 耶鲁大学(Yale University)发起的一个开源项目,旨在为 Web 应用系统提供一种可靠的单点登录方法。

使用CAS 标准时,首先是由 CAS Client 发起, CAS Client 会重定向到 CAS Server进行登录,由 CAS Server 进行账户校验且多个 CAS Client 之间可以共享登录的 session ,Server 和 Client 是一对多的关系;

从结构上看,CAS 包含两个部分: CAS Server 和 CAS Client 。 CAS Server 需要独立部署,主要负责对用户的认证工作; CAS Client 负责处理对客户端受保护资源的访问请求,需要登录时,重定向到 CAS Server。

下图是标准 CAS 最基本的协议过程:

CAS Client 与受保护的客户端应用部署在一起,以便 Filter 方式保护受保护的资源。对于访问受保护资源的每个人 Web 请求, CAS Client 会分析该请求的 Http 请求中是否包含 Service Ticket。如果没有,则说明当前用户尚未登录,于是将请求重定向到指定好的 CAS Server 登录地址,并传递 Service (也就是要访问的目的资源地址),以便登录成功过后转回该地址。

用户在上图流程中的第 3 步输入认证信息,如果登录成功,CAS Server 随机产生一个相当长度、唯一、不可伪造的结果 Service Ticket,并缓存以待将来验证。之后系统自动重定向到 Service 所在地址,并为客户端浏览器设置一个 Ticket Granted Cookie(TGC),CAS Client 在拿到 Service 和新产生的 Ticket 过后,在第 5,6 步中与 CAS Server 进行身份核实,以确保安全 Service Ticket 的合法性。

在 IDaaS 中, CAS (标准)应用模板实现了标准的 CAS 流程。它充当一个 CAS Server的角色。当 CAS Cient 决定使用IDaaS作为 CAS Server 时。在登录认证时需要使用 IDaaS 系统中公司的主账号,密码进行认证。

三、基于OAuth 2.0单点登录

OAuth 2.0的草案是在2010年5月初在IETF发布的。OAuth2是一个授权协议, 主要用来作为API的保护, 我们称之为STS(安全令牌服务, Security Token Service)。 但是在某些情况下, 也可以被用来实现WEB SSO单点登录。一般的流程是用户把发起页面的URL和state参数关联上, 并保存在SP(业务系统)本地,用户登录后, 可以获取一个Code, 利用Code拿到AT(Access Token) 后, 可以利用这个AT获取用户信息userinfo, 进而从state 中, 获取到对应的原始URL,并跳转到这个URL, 从而实现登录到一个业务应用SP的效果。 本文档详细描述了这个SSO过程。

图中:IDP指身份提供者,SP指业务系统。

四、基于SAML协议单点登录

在SAML协议出现之前,传统Web应用系统单点登录大都通过Cookie来实现,但由于浏览器的安全限制,只有同一个域名下的系统才可以共享Cookie,在云计算大行其道的今天, 该方案无法解决像SaaS这种跨多个域名系统之间的认证和授权问题,于是SAML协议应运而生。

SAML(Security Assertion Markup Language 安全断言标记语言)是一个基于XML的开源标准数据格式,为在安全域间交换身份认证和授权数据,尤其是在IDP(身份提供者)和SP(业务系统)之间。SAML是OASIS(Organization for the Advancement of Structured Information Standards 安全服务技术委员会)制定的标准,始于2001年,其最新主要版本SAML 2.0于2005年发布。

作为一种流行的SSO协议, SAML同时支持IDP发起和SP发起, 也就是可以在登录门户后,跳转到任意一个应用, 也可以从一个应用发起,跳转到IDP, 登录认证后,再跳转回这个应用, 继续SSO。 二者都是SSO, 流程的前半部分参数不同, 后半部分是很相似的。

图中:IDP指身份提供者,SP指业务系统。

用户请求SP资源,SP生成SAML请求,IDP接收并解析SAML请求并进行用户认证后返回SAML响应,SP接收并解析SAML响应后,提起其中的令牌Assertion, 提供被请求的资源给用户使用。

zhousenshan
关注
专栏目录
SSO, SAML, OAuth2, JWT, OIDC
Tina的博客
05-05 1002
最近又复习了一下登录、权限相关的技术点,总结如下: 1. 常见的缩写: SSO: Single Sign On SAML: Security Assertion Markup Language OIDC:OpenID Connect CAS:Central Authentication Service AuthN:Authentication(身份验证) AuthZ: Authorization(权限验证) IDP: Identity Provider SP: Service Prov..
SSO(single sign on)模式 --单点登录三种登录方式
weixin_45185519的博客
06-24 932
单点登录三种常见方式: 第一种: session广播机制 第二种: 使用cookie + redis 实现 第三种: 使用token实现
SSO单点登录)三种方式介绍
qq_52896771的博客
02-10 375
单点登录SAMLOAuth2、OIDC 的区别与联系
最新发布
Lvlht的博客
04-24 1955
进一步的,同一个Client在不同Application Server可能也有不同的权限,这时候Authentication Server就需要包含Authorization Server(授权服务)功能。举个例子,我登录CSDN的时候,有个选项是是否使用微信登录,如果使用微信登录,就会从微信服务获取用户信息并登录。OIDC的核心在于授权过程中,一并提供用户的身份认证信息ID-Token(使用JWT来包装)给到第三方客户端,OP通常还提供了GetUserInfo的接口,用于获取用户更完整的信息。
SingleSignOn单点登录常见协议以及认证交换方式
霁晨晨晨的博客
12-12 1万+
SSO英文全称Single SignOn,即单点登录SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制。它是目前比较流行的企业业务整合的解决方案之一。
单点登录(SSO)详解——超详细
热门推荐
qq_53895518的博客
03-20 2万+
此种实现方式比较简单,但不支持跨主域名。
单点登录JWTCASOauth2、SAML几种技术方案对比分析
11-19
本文将对比分析四种常见的SSO技术:JWTCASOAuth2和SAML。 1. 基于JWT单点登录JWT(Json Web Token)是一种开放标准,用于在各方之间安全地传输信息。在SSO场景中,JWT作为用户身份验证的凭证,具有紧凑且...
JWTCASOAuth2与SAML:Java SSO技术选型深度解析
本文将深入探讨单点登录(Single Sign-On,SSO)在JAVA开发中的几种常见技术实现,包括JWTCASOAuth 2.0和SAML。首先,让我们明确什么是SSO:它允许用户在多个互信的应用系统中只需一次登录即可访问所有资源,...
cas_sso.rar_CAS_CAS SSO_cas文档_sso C_单点登录
09-24
CAS(Central Authentication Service,中央认证服务)是一种广泛使用的开源身份验证框架,旨在提供一种安全的单点登录(Single Sign-On,SSO)解决方案。SSO允许用户通过一次登录,就能访问多个相互信任的应用系统...
开源多租户IDaas产品-MaxKey 单点登录认证系统 v3.5.6GA官方源代码
09-07
谐音马克思的钥匙寓意是最大钥匙,是业界领先的IAM身份管理和认证产品,支持OAuth 2.x/OpenID Connect、SAML 2.0、JWTCAS、SCIM等标准协议,提供安全、标准和开放的用户身份管理(IDM)、身份认证(AM)、单点登录(SSO)...
聊聊统一认证中的四种安全认证协议(干货分享)
陈哈哈的菜园子
10-31 5203
面试必备,从统一认证中的认证&授权、SSO单点登录、四种安全认证协议、四种认证协议比较几个方面展开聊聊,希望对你有所收货。
SSO的实现协议及OIDC协议的实现流程
本博客记录了从2014年以来在工作学习中遇到的技术问题、解决方法以及部分个人人生经历、经验等内容。
04-05 930
用户是 QQ 账号的所有者。QQ 的授权服务器负责用户的身份认证和授权。提供 SSO 的标准和协议有很多,其中一些著名的有:安全访问标记语言 (SAML)、开放授权 (OAuth)、开放 ID 连接 (OIDC)、Web 服务联合 (WS-Federation)、CAS(Central Authentication Service)、Kerberos等。SAML 是一种基于 XML 的标准,用于在 IdP 和服务提供商之间交换身份验证和授权数据,以验证用户的身份和权限,然后授予或拒绝他们对服务的访问权限。
基于OAuth2协议SSO统一认证系统
weixin_38277138的博客
03-14 2158
基于OAuth2协议SSO统一认证系统
SSO统一身份认证——SSO都有哪些常用的协议
CN華少的博客
07-18 3178
SSO统一身份认证——SSO都有哪些常用的协议 单点登录(SingleSignOn,SSO),就是通过用户的一次性鉴别登录。当用户在身份认证服务器上登录一次以后,即可获得访问单点登录系统中其他关联系统和应用软件的权限,同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的,这意味着在多个应用系统中,用户只需一次登录就可以访问所有相互信任的应用系统。这种方式减少了由登录产生的时间消耗,辅助了...
sso实现的两种方式 (简述)
理想主义
04-23 2652
sso(单点登录) 单点登录 的相关概念就不累述了,通俗的讲就是一次登录,到处有效,免去你在不同的服务间跳转时的繁琐验证。比如某宝网站是很多个系统相互调用形成的,如果没做单点登录的话,你每跳转一个服务,都需要验证身份,想想就可怕… 1.分布式session 实现单点登录的第一种做法是分布式session共享,这应该是很常见的一种方式。毕竟后端程序员没有不知道session的吧。 后端确认登录人信息...
SSO 轻量级实现指南(原生 Java 实现):SSO Server 部分
zhangxin09的专栏
04-22 2518
OAuth 是当前单点登录SSO)和用户授权的标准协议——现在就让我们一起动手撸一个 SSO 的实现吧!
单点登录(SSO)的核心--kerberos身份认证协议技术参考
God is Coder
02-24 5505
微软Windows Server 2003操作系统实现Kerberos 版本5的身份认证协议。Windows Server 2003同时也实现了公钥身份认证的扩展。Kerberos身份验证的客户端实现为一个SSP(security support provider),能够通过SSPI(Security Support Provider Interface)进行访问。最初的用户身份验证是跟W
SSO单点登录三种情况的实现方式详解
json_li的博客
06-26 1万+
单点登录SSO——Single Sign On)对于我们来说已经不陌生了。对于大型系统来说使用单点登录可以减少用户很多的麻烦。就拿百度来说吧,百度下面有很多的子系统——百度经验、百度知道、百度文库等等,如果我们使用这些系统的时候,每一个系统都需要我们输入用户名和密码登录一次的话,我相信用户体验肯定会直线下降。当然,对于个人博客这类系统来说根本就用不上单点登录了。 假如,我们的系统很庞大,但是就
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值