认证方式之SSO和Basic

已于 2022-04-23 17:06:17 修改
阅读量822 收藏
点赞数
分类专栏: 笔记 文章标签: 基础
于 2022-04-10 17:29:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zkkzpp258/article/details/124051720
版权

序言

我们开发过程中注册在网关(APIGateWay)上的接口可以配置不同的认证模式(AuthMode),比较常见的是SSO单点登陆和Basic Auth,那么来看一下他们之间有什么区别。

单点登陆(SSO,Single Sign On)

最初的项目可能就是一个单系统的服务,一个服务中包含了许多功能,如下图, 

后面为了降低各个功能之间的耦合性,提高各个功能的可扩展性,把它们拆分成多个子系统,当然这也对硬件基础设施有一定的要求,并且会增大系统的复杂度,但是好处也是有很多的,这个需要设计者去权衡,如下图,各个功能拆成了各种微服务,

单点登陆即在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。

HTTP协议是无状态的,登陆后其他所有子系统如何知道这个用户是已经登陆过的可信任用户呢?用户请求打到登陆服务器上后,登陆服务器会将用户提交的相关信息生成一个session,session是有过期时间的,在session存在于服务器端的时间里,下一次用户访问该系统时会带上上一次服务器端返回的sessionId存入Cookies(Cookies存储在客户端,Session存储在服务器端)中带入请求中,后面的请求则通过请求中的Cookies拿到的session信息和服务器端做对比来判断是否是已经登陆的用户。

如果禁用了Cookie,则可以通过token机制进行登陆,相当于第一次登陆用户名和密码后生成一个token给客户端,客户端后面的所有请求只需要携带这个token就可以了,不需要再进行登陆。举个简单例子,第一次登陆请求到登陆服务器,登陆服务器通过用户的用户名和密码生成一个token,然后把它存入到缓存Redis中,设置过期时间为30分钟,并把token返回给客户端。后面30分钟内,所有需要身份认证的请求URL携带token进行请求时就不需要进行身份认证,因为token中携带了认证信息。

HTTP基本认证(Basic Auth)

大部分Web服务都是在使用SSL(Secure Sockets Layer,安全套接字协议)和HTTP基本认证。HTTP基本认证就是使用用户名和密码的方式进行登陆,密码使用base64_encode加密,如下图,

这种认证方式每次请求都会提供用户名和密码,请求达到登陆服务器后,它会检查Headers中的 Authorization,从中解析出Username和Password,和服务器保存的进行对比,如果一致则通过,否则返回 401/403 状态码,表示客户端没有携带或携带了错误的认证信息。

权限错误码

登陆或鉴权常见的HTTP相应错误码有如下几种:

401

401表示用户需要认证信息,缺少有效的身份验证凭据。API需要有效用户,由请求中的Authorization标头确定。比如postman中在Auth中使用Basic认证方式发送请求时,headers头中会带有Basic认证方式的认证信息,如下图,

出现401错误码的原因是以下几种情况:

  1. 没有指定令牌
  2. 指定的令牌格式无效
  3. 令牌已过期
  4. 在极少数情况下令牌有效,但不适用于该API

403

403表示服务器理解请求但拒绝授权,与401不同的是,客户端的身份是服务器已知的,只是用户未被授权,用户尝试执行操作,但标识用户的令牌没有足够的权限来执行此操作,常用于提示用户缺少相应的权限。

出现403常见的原因有如下几种:

  1. 用户名密码验证通过,但IP超过最大数量限制,或者对某一IP拉进黑名单禁止访问。
  2. 服务器为防止泛洪攻击所做的限制,防止某一用户在短时间内发送大量POST请求;或者防止黑客使用代理IP进行爬虫而禁止某一用户访问该网站。
  3. 用户为该服务器的用户,但用户权限不足以访问该网站。

404

404是最常见的错误码,通常你的环境上没有部署服务导致找不到对应的API就会报404,表示服务器找不到请求的资源。

思考题:

Curl命令和Postman接口调用有啥区别?postman也可以像Curl命令一样建立SSE(Server-Sent Events)长连接吗?

CURL是一个利用URL语法在命令行下工作的文件传输工具,它支持文件上传和下载。POSTMAN也可以像CURL命令建立SSE长连接。

Curl命令参数:

-k:请求https时需要带上的参数,curl命令默认使用SSL证书验证,通过CA颁发的证书进行认证。

-L:访问永久跳转的页面。

-X:指定请求方式GET、POST、PATCH、DELETE,默认请求方式是GET。

-d:该选项为使用POST方式向server发送数据,可以省略-X POST。使用-d时,将使用Content-type:application/x-www-form-urlencoded方式发送数据。

-I:开启gzip请求。

-H:指定请求头。

-o:监控站点可用性。

curl -I -k https://es.b2b.10086.cn/

curl -X POST -d"data=123&key=456" http://www.jackyops.com/search -v

curl -I http://www.baidu.com/ 

 

 

 

参考链接:

1、Spring cloud gateway 详解和配置使用 - 知乎

2、什么是单点登录(SSO) - 知乎

3、一文搞懂单点登录三种情况的实现方式

4、Session, Token and SSO 有什么区别 - SolidMango - 博客园

5、微服务 & SSO & Session & Token(Cookie) - 简书

四问四不知
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security + oauth 2.0 实现单点登录、认证授权
06-26
Spring Security和OAuth 2.0是两个在Web应用安全领域广泛应用的框架,它们结合使用可以构建强大的单点登录(SSO)和认证授权系统。在这个系统中,`xp-sso-server`代表了认证服务器,而`xp-sso-client-a`和`xp-sso-...
HTTP使用BASIC认证的原理及实现方法
cjw201231010314的博客
10-19 1433
一. BASIC认证概述 在HTTP协议进行通信的过程中,HTTP协议定义了基本认证过程以允许HTTP服务器对WEB浏览器进行用户身份证的方法,当一个客户端向HTTP服务 器进行数据请求时,如果客户端未被认证,则HTTP服...
接口测试 之 HTTP 1.1 认证BASIC认证
weixin_39472415的博客
09-22 1855
basic认证介绍认证步骤步骤图解BASIC 认证的的缺点测试:认证失败测试:认证成功 介绍 BASIC 认证(基本认证)是从HTTP/1. 1 就定义的认证方式,是Web服务器与通信客户端之间进行的认证 认证步骤 步骤1:当请求的资源需要 BASIC 认证时,服务器会随状态码 401 Authorization Required,返回 WWW-Authenticate 首部字段(响应头)的响应。该字段内包含认证方式BASIC)及Request-URI 安全域字符串(realm)。 步骤2:接收到状
实现给Nginx的指定网站开启basic认证——http基本认证
最新发布
CoffeMilk的博客
07-15 1465
目前我们配置的网站内容都是没有限制,可以让任何人打开浏览器都能够访问,这样就会存在一个问题(可能会存在一些恶意访问的用户进行恶意操作,直接访问到我们的敏感后台路径进行操作,风险就会很大);并且我们也只是希望这个网站只有我们自己能够访问,其他人访问不了。
Postman中9大Authorization授权机制
qq19970496的博客
05-28 9442
API通过授权来确保客户端请求安全地访问数据。主要包括:发送者身份验证和访问权限认证。Postman中Authorization授权机制主要包括:下面10种 Inheriting auth继承认证 No auth 无授权认证 Bearer Token令牌 Basic auth基本授权认证 Digest auth OAuth 1.0 OAuth 2.0 Hawk authentication AWS Signature NLTM authentication 1Inheriting auth继承认证 如果将
单点登录SSO(single sign on)模式(单点登录+权限认证
雨声学java
06-09 5450
一、单点登录三种常见方法: 第一种: session广播机制实现(已过时) session赋值 = 把登录的session对象,复制给其他模块 缺点:如果模块多的话,session复制会造成资源浪费,还会因为session复制导致数据重复 第二种:使用cookie + redis 实现 怎么设置过期时间:redis 可以设置过期时间 第三种:使用token实现 .................................
Spring Acegi鉴权管理之基础模式(BASIC
甘谷天蚕网络技术有限公司
05-01 311
Acegi久负盛名,这个家伙是一个spring中广泛使用的认证和安全工具,最初由spring社区爱好者发起,目的是为spring应用提供一个安全服务,比如用户认证及授权等。后来spring官方觉得这个东西很不错,就收编了,并且在2006年发布了spring官方的1.0版本。虽然是基于Acegi,但springsecurity已经在原有基础上增加了很多新的特性进来。为了能够方便一窥Acegi的真容...
xxl-sso分布式单点登录框架 v1.1.0.zip
03-27
2. **配置SSO Server**:根据项目需求配置SSO Server的地址、端口、认证方式等相关参数。 3. **部署SSO Server**:将SSO Server部署到服务器上,确保其正常运行。 4. **集成客户端**:在每个需要SSO保护的系统中引入...
python毕业设计之web服务统一身份认证协议设计源码.zip
07-14
常见的认证方式有基本认证Basic Auth)、OAuth和OpenID Connect。本项目可能基于这些协议中的一种或多种来实现。 3. **OAuth协议**:OAuth允许用户授权第三方应用访问其私有资源,而无需共享用户名和密码。它定义...
Web-Authentication:Web认证实践
04-06
- Basic Authentication:最简单的HTTP认证方式,用户凭据以Base64编码的形式包含在请求头中,但安全性较低,因为数据未加密。 - Digest Authentication:改进版的Basic Auth,使用哈希算法对密码进行保护,提高了...
第九章 SpringCloud Oauth2认证中心-Zuul网关上添加认证.pdf
09-13
这个项目是建立在Spring Cloud的基础之上,使用Oauth2作为认证中心,提供安全的身份验证服务。Zuul作为API网关,起到路由、过滤和安全控制的作用。在改造过程中,我们会在Oauth2项目中增加一个新的访问上下文路径`/...
WAS与CAS配置
03-20
这通常意味着在应用的login-config部分的必须使用"BASIC"认证,而不是"FORM"认证SSO实现的关键在于CAS服务器与WAS服务器之间的整合,这涉及到以下几个主要步骤: 1. CAS服务器搭建:将CAS服务器部署在Tomcat...
josso+tomcat配置之josso服务器配置(一)[参考].pdf
10-11
josso+Tomcat配置之josso服务器配置 josso是基于Java的单点登录(SSO)服务器,能够提供身份验证和授权服务。Tomcat是Apache软件基金会开发的开源Java servlet容器。配置josso服务器需要将josso war文件部署到...
Authentication
03-18
3. JSON Web Token(JWT):一种基于Token的认证方式,包含用户信息和过期时间,由服务器签发,客户端在请求时携带,减轻服务器负担。 4. OAuth 2.0:用于第三方应用获取用户授权的开放标准,允许用户让一个应用代表...
MyRestUtil:基于springboot的rest调用框架,定义接口然后即可直接注入使用
05-15
框架只演示了get请求和支持http basic认证,需要支持post请求和其他认证方式的(如sso),自己寻找TODO标签补全代码即可。更新记录2017.10.11 将 RestUtilInit 由普通bean修改为 BeanFactoryPostProcessor ,保证...
什么是鉴权?一篇文章带你了解postman的多种方式
jj2772367224的博客
08-02 1714
这是一个很有用的功能,当我们对一个集合(collection)进行测试的时候,集合中的每个请求都需要获取token,那么如果我们在集合的根目录把token获取到的话,那么该集合下的所有请求就会自动获取到token,无需任何处理(因为每个请求的Authorization默认选项就是Inheritautofromparent),也就省略了我们对每个token进行处理了。如果您成功从API接收到令牌,则可以看到其详细信息、到期时间以及可选的刷新令牌,当当前令牌过期时,您可以使用该令牌来获取新的访问令牌。...
JWT(SSO方案)+身份认证的三种方式
努力的小C
01-07 2799
JWT(SSO方案)+身份认证的三种方式一、身份认证的三种方式1.1 单一服务器模式1.2 SSO(单点登录)1.3 Token1.3.1 token 验证过程1.3.2 使用token的案例演示(时序图)1.3.3 token 优缺点二、JWT2.1 JWT令牌2.2 JWT 的组成2.2.1 HEADER2.2.2 PAYLOAD2.2.3 VERIFY SIGNATURE2.2.4 拓展:Base64URL算法2.3 JWT 的使用2.4 JWT 的生成和解析(demo)2.4.1 jwt生成2.4.
Docker harbor私有仓库的搭建
double_happy111的博客
04-26 647
Docker harbor私有仓库的搭建 文章目录Docker harbor私有仓库的搭建1.docker的环境2.docker harbor 1.docker的环境 服务器 IP地址 docker harbor服务器 192.168.73.11 docker客户端 192.168.73.12 2.docker harbor docker环境的部署(两个docker服务器...
springsecurity自定义多种登录方式
09-28
### 回答1: Spring Security提供了多种登录方式的支持,可以使用表单登录、Basic认证、OAuth2等方式进行身份验证。如果需要自定义多种登录方式,可以按照以下步骤进行: 1. 实现自定义的AuthenticationProvider AuthenticationProvider是Spring Security的一个核心接口,用于实现身份验证逻辑。通过实现自定义的AuthenticationProvider,可以实现多种不同的身份验证方式。 例如,可以实现一个LDAPAuthenticationProvider,用于基于LDAP的身份验证,或者实现一个SmsCodeAuthenticationProvider,用于基于短信验证码的身份验证。 2. 配置多个AuthenticationProvider 在Spring Security的配置文件中,可以通过配置多个AuthenticationProvider来支持多种登录方式。例如,可以同时配置一个基于表单登录的AuthenticationProvider和一个基于OAuth2的AuthenticationProvider。 3. 实现自定义的AuthenticationFilter AuthenticationFilter是Spring Security用于处理身份验证请求的过滤器。通过实现自定义的AuthenticationFilter,可以实现多种不同的身份验证方式。 例如,可以实现一个基于短信验证码的AuthenticationFilter,用于处理短信验证码登录请求。 4. 配置多个AuthenticationFilter 在Spring Security的配置文件中,可以通过配置多个AuthenticationFilter来支持多种登录方式。例如,可以同时配置一个基于表单登录的AuthenticationFilter和一个基于短信验证码的AuthenticationFilter。 总的来说,实现多种登录方式的关键在于实现自定义的AuthenticationProvider和AuthenticationFilter,并在Spring Security的配置文件中进行配置。 ### 回答2: Spring Security 提供了多种自定义登录方式的选项。以下是一些常见的方法: 1. 自定义用户名密码登录:可以使用 Spring Security 的表单登录功能,通过配置用户名和密码的输入框,实现用户名密码登录功能。 例如,可以通过配置 `formLogin()` 方法来实现: ```java protected void configure(HttpSecurity http) throws Exception { http .formLogin() .loginPage("/login") .usernameParameter("username") .passwordParameter("password") .defaultSuccessUrl("/home") .permitAll(); } ``` 2. 自定义第三方登录:可以使用 Spring Security OAuth2 来实现第三方登录,例如使用 Facebook、Google 或 Github 等社交媒体的账号进行登录。 Spring Security OAuth2 提供了很多集成第三方认证的实例代码,可以根据具体的需求进行自定义。 3. 自定义手机号码登录:可以通过继承 Spring Security 的 `AbstractAuthenticationProcessingFilter` 类来实现自定义手机号码登录。 可以在自定义的过滤器中验证手机号码,并进行认证逻辑。 4. 自定义单点登录(SSO):可以通过集成 Spring Security 的 `AuthenticationProvider` 接口来实现自定义的单点登录认证。 可以通过实现该接口的 `authenticate()` 方法来处理单点登录的逻辑。 这些只是一些常见的自定义登录方式的示例,根据具体的需求,可以结合 Spring Security 提供的各种功能和扩展点,灵活地进行自定义实现。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值