认证方式之SSO和Basic

已于 2022-04-23 17:06:17 修改
阅读量785 收藏
点赞数
分类专栏: 笔记 文章标签: 基础
于 2022-04-10 17:29:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zkkzpp258/article/details/124051720
版权

序言

我们开发过程中注册在网关(APIGateWay)上的接口可以配置不同的认证模式(AuthMode),比较常见的是SSO单点登陆和Basic Auth,那么来看一下他们之间有什么区别。

单点登陆(SSO,Single Sign On)

最初的项目可能就是一个单系统的服务,一个服务中包含了许多功能,如下图, 

后面为了降低各个功能之间的耦合性,提高各个功能的可扩展性,把它们拆分成多个子系统,当然这也对硬件基础设施有一定的要求,并且会增大系统的复杂度,但是好处也是有很多的,这个需要设计者去权衡,如下图,各个功能拆成了各种微服务,

单点登陆即在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。

HTTP协议是无状态的,登陆后其他所有子系统如何知道这个用户是已经登陆过的可信任用户呢?用户请求打到登陆服务器上后,登陆服务器会将用户提交的相关信息生成一个session,session是有过期时间的,在session存在于服务器端的时间里,下一次用户访问该系统时会带上上一次服务器端返回的sessionId存入Cookies(Cookies存储在客户端,Session存储在服务器端)中带入请求中,后面的请求则通过请求中的Cookies拿到的session信息和服务器端做对比来判断是否是已经登陆的用户。

如果禁用了Cookie,则可以通过token机制进行登陆,相当于第一次登陆用户名和密码后生成一个token给客户端,客户端后面的所有请求只需要携带这个token就可以了,不需要再进行登陆。举个简单例子,第一次登陆请求到登陆服务器,登陆服务器通过用户的用户名和密码生成一个token,然后把它存入到缓存Redis中,设置过期时间为30分钟,并把token返回给客户端。后面30分钟内,所有需要身份认证的请求URL携带token进行请求时就不需要进行身份认证,因为token中携带了认证信息。

HTTP基本认证(Basic Auth)

大部分Web服务都是在使用SSL(Secure Sockets Layer,安全套接字协议)和HTTP基本认证。HTTP基本认证就是使用用户名和密码的方式进行登陆,密码使用base64_encode加密,如下图,

这种认证方式每次请求都会提供用户名和密码,请求达到登陆服务器后,它会检查Headers中的 Authorization,从中解析出Username和Password,和服务器保存的进行对比,如果一致则通过,否则返回 401/403 状态码,表示客户端没有携带或携带了错误的认证信息。

权限错误码

登陆或鉴权常见的HTTP相应错误码有如下几种:

401

401表示用户需要认证信息,缺少有效的身份验证凭据。API需要有效用户,由请求中的Authorization标头确定。比如postman中在Auth中使用Basic认证方式发送请求时,headers头中会带有Basic认证方式的认证信息,如下图,

出现401错误码的原因是以下几种情况:

  1. 没有指定令牌
  2. 指定的令牌格式无效
  3. 令牌已过期
  4. 在极少数情况下令牌有效,但不适用于该API

403

403表示服务器理解请求但拒绝授权,与401不同的是,客户端的身份是服务器已知的,只是用户未被授权,用户尝试执行操作,但标识用户的令牌没有足够的权限来执行此操作,常用于提示用户缺少相应的权限。

出现403常见的原因有如下几种:

  1. 用户名密码验证通过,但IP超过最大数量限制,或者对某一IP拉进黑名单禁止访问。
  2. 服务器为防止泛洪攻击所做的限制,防止某一用户在短时间内发送大量POST请求;或者防止黑客使用代理IP进行爬虫而禁止某一用户访问该网站。
  3. 用户为该服务器的用户,但用户权限不足以访问该网站。

404

404是最常见的错误码,通常你的环境上没有部署服务导致找不到对应的API就会报404,表示服务器找不到请求的资源。

思考题:

Curl命令和Postman接口调用有啥区别?postman也可以像Curl命令一样建立SSE(Server-Sent Events)长连接吗?

CURL是一个利用URL语法在命令行下工作的文件传输工具,它支持文件上传和下载。POSTMAN也可以像CURL命令建立SSE长连接。

Curl命令参数:

-k:请求https时需要带上的参数,curl命令默认使用SSL证书验证,通过CA颁发的证书进行认证。

-L:访问永久跳转的页面。

-X:指定请求方式GET、POST、PATCH、DELETE,默认请求方式是GET。

-d:该选项为使用POST方式向server发送数据,可以省略-X POST。使用-d时,将使用Content-type:application/x-www-form-urlencoded方式发送数据。

-I:开启gzip请求。

-H:指定请求头。

-o:监控站点可用性。

curl -I -k https://es.b2b.10086.cn/

curl -X POST -d"data=123&key=456" http://www.jackyops.com/search -v

curl -I http://www.baidu.com/ 

 

 

 

参考链接:

1、Spring cloud gateway 详解和配置使用 - 知乎

2、什么是单点登录(SSO) - 知乎

3、一文搞懂单点登录三种情况的实现方式

4、Session, Token and SSO 有什么区别 - SolidMango - 博客园

5、微服务 & SSO & Session & Token(Cookie) - 简书

四问四不知
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
聊聊单点登录(SSO)中的CAS认证
虚幻私塾
09-16 1179
随着企业的发展,一个大型系统里可能包含 n 多子系统, 用户在操作不同的系统时,需要多次登录,很麻烦,我们需要一种全新的登录方式来实现多系统应用群的登录,这就是单点登录。web 系统 由单系统发展成多系统组成的应用群,复杂性应该由系统内部承担,而不是用户。无论 web 系统内部多么复杂,对用户而言,都是一个统一的整体,也就是说,用户访问 web 系统的整个应用群与访问单个系统一样,登录/注销 只要1次就够了即单点登录,一种对于许多相互关联,但是又是各自独立的软件系统,提供访问控制的方法。
spring security + oauth 2.0 实现单点登录、认证授权
06-26
Spring Security和OAuth 2.0是两个在Web应用安全领域广泛应用的框架,它们结合使用可以构建强大的单点登录(SSO)和认证授权系统。在这个系统中,`xp-sso-server`代表了认证服务器,而`xp-sso-client-a`和`xp-sso-...
HTTP使用BASIC认证的原理及实现方法
cjw201231010314的博客
10-19 1423
一. BASIC认证概述 在HTTP协议进行通信的过程中,HTTP协议定义了基本认证过程以允许HTTP服务器对WEB浏览器进行用户身份证的方法,当一个客户端向HTTP服务 器进行数据请求时,如果客户端未被认证,则HTTP服...
Postman中9大Authorization授权机制
qq19970496的博客
05-28 9126
API通过授权来确保客户端请求安全地访问数据。主要包括:发送者身份验证和访问权限认证。Postman中Authorization授权机制主要包括:下面10种 Inheriting auth继承认证 No auth 无授权认证 Bearer Token令牌 Basic auth基本授权认证 Digest auth OAuth 1.0 OAuth 2.0 Hawk authentication AWS Signature NLTM authentication 1Inheriting auth继承认证 如果将
用户认证SSO
最新发布
CherryXieのblog
06-04 547
企业用户往往需要访问多个 SaaS 应用程序,如果每个应用都需要单独进行登录认证,会给用户造成极大的不便。通过 SSO 可以实现统一的身份认证,用户只需在一个地方登录,就可以访问所有集成的 SaaS 应用。
单点登录SSO(single sign on)模式(单点登录+权限认证
雨声学java
06-09 5350
一、单点登录三种常见方法: 第一种: session广播机制实现(已过时) session赋值 = 把登录的session对象,复制给其他模块 缺点:如果模块多的话,session复制会造成资源浪费,还会因为session复制导致数据重复 第二种:使用cookie + redis 实现 怎么设置过期时间:redis 可以设置过期时间 第三种:使用token实现 .................................
Spring Acegi鉴权管理之基础模式(BASIC
甘谷天蚕网络技术有限公司
05-01 288
Acegi久负盛名,这个家伙是一个spring中广泛使用的认证和安全工具,最初由spring社区爱好者发起,目的是为spring应用提供一个安全服务,比如用户认证及授权等。后来spring官方觉得这个东西很不错,就收编了,并且在2006年发布了spring官方的1.0版本。虽然是基于Acegi,但springsecurity已经在原有基础上增加了很多新的特性进来。为了能够方便一窥Acegi的真容...
xxl-sso分布式单点登录框架 v1.1.0.zip
03-27
2. **配置SSO Server**:根据项目需求配置SSO Server的地址、端口、认证方式等相关参数。 3. **部署SSO Server**:将SSO Server部署到服务器上,确保其正常运行。 4. **集成客户端**:在每个需要SSO保护的系统中引入...
python毕业设计之web服务统一身份认证协议设计源码.zip
07-14
常见的认证方式有基本认证Basic Auth)、OAuth和OpenID Connect。本项目可能基于这些协议中的一种或多种来实现。 3. **OAuth协议**:OAuth允许用户授权第三方应用访问其私有资源,而无需共享用户名和密码。它定义...
Web-Authentication:Web认证实践
04-06
- Basic Authentication:最简单的HTTP认证方式,用户凭据以Base64编码的形式包含在请求头中,但安全性较低,因为数据未加密。 - Digest Authentication:改进版的Basic Auth,使用哈希算法对密码进行保护,提高了...
第九章 SpringCloud Oauth2认证中心-Zuul网关上添加认证.pdf
09-13
这个项目是建立在Spring Cloud的基础之上,使用Oauth2作为认证中心,提供安全的身份验证服务。Zuul作为API网关,起到路由、过滤和安全控制的作用。在改造过程中,我们会在Oauth2项目中增加一个新的访问上下文路径`/...
JWT(SSO方案)+身份认证的三种方式
努力的小C
01-07 2411
JWT(SSO方案)+身份认证的三种方式一、身份认证的三种方式1.1 单一服务器模式1.2 SSO(单点登录)1.3 Token1.3.1 token 验证过程1.3.2 使用token的案例演示(时序图)1.3.3 token 优缺点二、JWT2.1 JWT令牌2.2 JWT 的组成2.2.1 HEADER2.2.2 PAYLOAD2.2.3 VERIFY SIGNATURE2.2.4 拓展:Base64URL算法2.3 JWT 的使用2.4 JWT 的生成和解析(demo)2.4.1 jwt生成2.4.
SSO单点登录简析 身份认证 安当加密
www.andang.cn
04-19 1514
本文介绍SSO概念和简略方案原理,不拆解协议细节。 一、身份认证 身份是一切信任的基础。基于身份的信任思维就是不信任企业内部和外部的任何人、任何系统,需要基于身份认证和授权,执行以身份为中心的访问控制和资产保护。 现实应用系统的业务流程中,既有人机交互,也有机机交互,所以,身份认证涉及到: 1、对人的身份认证。 2、后台间身份认证。 3、对设备的身份认证。 最最常见的认证流程示意如下,用户输入正确地用户名和密码获得认证服务颁发的Ticket,再携带Ticket去访问应用系统。 Web
单点登录(SSO)详解——超详细
热门推荐
qq_53895518的博客
03-20 1万+
此种实现方式比较简单,但不支持跨主域名。
深入理解单点登录(SSO):简化用户认证体验
五更钟动的博客
04-07 5499
SSO定义和概念​单点登录(Single Sign-On,简称SSO)是一种身份验证和授权机制,旨在让用户只需一次登录,就能够访问多个相关但独立的系统或应用。在传统的身份验证模型中,用户需要为每个系统提供独立的凭证(通常是用户名和密码),这不仅繁琐而且容易导致安全隐患。​ SSO解决了这一问题,通过一次登录,用户获取了对多个系统的访问权限,而无需在每个系统中重新输入凭证。这样的集中式身份验证模型极大地提升了用户体验,减轻了用户的记忆负担,同时也有助于提高整体系统的安全性。
OAuth 和 Basic Auth
晗炜的专栏
05-11 585
[b]HTTP Basic access authentication[/b] [url]http://en.wikipedia.org/wiki/Basic_access_authentication[/url] 以下转自:[url]http://www.cnblogs.com/wumao/archive/2011/04/21/2023332.html[/url] 概述:在web应用中,通...
解读认证和授权 OAuth、SSO、CAS、JWT
yuezhilangniao的博客
05-05 1461
浅显易懂 解读认证和授权 OAuth、SSO、CAS、JWT
原理探究:单点登录(SSO)原理和实现
qq_39093474的博客
12-20 594
HTTP是,浏览器的每一次请求,服务器都会独立处理,不与之前或之后的请求产生关联,所以,任何用户都可以通过浏览器访问服务器资源。
【单点登录SSO认证中心】
weixin_43628257的博客
03-17 1419
(2017-09-22更新)GitHub:https://github.com/sheefee/simple-sso
rest sso 和_SSO企业单点登录系统——CAS REST认证方式
05-19
REST SSO和CAS REST认证方式都是企业单点登录系统中的认证方式。 REST SSO是基于RESTful API的单点登录系统,具有轻量级、高效、可扩展等优点。它的原理是,用户在认证服务器上登录后,会得到一个加密的token,这个token会被存储在浏览器cookie中,当用户访问其他系统时,这个token会被发送给其他系统进行验证,从而实现单点登录。 CAS(Central Authentication Service)是一个开源的企业单点登录系统,支持多种认证方式,包括基于REST的认证方式。CAS REST认证方式是通过RESTful API实现单点登录的一种方式,与REST SSO类似。用户在认证服务器上登录后,会得到一个加密的token,这个token会被存储在浏览器cookie中,当用户访问其他系统时,这个token会被发送给其他系统进行验证,从而实现单点登录。 总的来说,REST SSO和CAS REST认证方式都是基于RESTful API的企业单点登录系统,实现方式类似,但是具体实现细节和使用场景还是有所区别的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值