Auth2.0与单点登录
目录
1、什么是 OAuth2.0
1.1、Auth2协议中,共有四个参与方(角色)
2、什么是单点登录
3、OAuth2.0授权与单点登录的区别
4、OAuth2 协议一共支持 4 种不同的授权模式
4.1、授权码模式
5、基于OAuth2.0的SSO单点登录
1、什么是 OAuth2.0
OAuth (Open Authority的缩写)是一个开放标准,该标准允许用户让第三方应用访问该用户在某一网站上存储的私密资源(如头像、照片、视频等),而在这个过程中无需将用户名和密码提供给第三方应用。实现这一功能是通过提供一个令牌(token),而不是用户名和密码来访问他们存放在特定服务提供者的数据。采用令牌(token)的方式可以让用户灵活的对第三方应用授权或者收回权限。
OAuth2.0 是 OAuth 协议的下一版本,但不向下兼容 OAuth 1.0。传统的 Web 开发登录认证一般都是基于 session 的,但是在前后端分离的架构中继续使用 session 就会有许多不便,因为移动端(Android、iOS、微信小程序等)要么不支持 cookie(微信小程序),要么使用非常不便,对于这些问题,使用 OAuth2 认证都能解决。
对于大家而言,我们在互联网应用中最常见的 OAuth2 应该就是各种第三方登录了,例如 QQ 授权登录、微信授权登录、微博授权登录、GitHub 授权登录等等。
1.1、Auth2协议中,共有四个参与方(角色)
2、什么是单点登录
单点登录的英文名是 Single Sign On,因此一般简称为 SSO。它的用途在于,不管多么复杂的应用群,只要在用户权限范围内,那么就可以做到,用户只需要登录一次就可以访问权限范围内的所有应用子系统。对于用户而言,访问多个应用子系统只需要登录一次,同样在需要注销的时候也只需要注销一次。举个简单的例子,你在百度首页登录成功之后,你再访问百度百科、百度知道、百度贴吧等网站也会处于登录状态了,这就是一个单点登录的真实案例。
重要的是理解:
3、OAuth2.0授权与单点登录的区别
根据OAuth2.0授权与单点登录的概念,我们可以得知二者至少存在以下几点区别:
-
从信任角度来看。OAuth2.0授权服务端和第三方客户端不属于一个互相信任的应用群(通常都不是同一个公司提供的服务),第三方客户端的用户不属于OAuth2.0授权服务端的官方用户;而单点登录的服务端和接入的客户端都在一个互相信任的应用群(通常是同一个公司提供的服务),各个子系统的用户属于单点登录服务端的官方用户。
-
从资源角度来看。OAuth2.0授权主要是让用户自行决定——“我”在OAuth2.0服务提供方的个人资源是否允许第三方应用访问;而单点登录的资源都在客户端这边,单点登录的服务端主要用于登录,以及管理用户在各个子系统的权限信息。
-
从流程角度来看。OAuth2.0授权的时候,第三方客户端需要拿预先“商量”好的密码去获取Access Token;而单点登录则不需要。
4、OAuth2 协议一共支持 4 种不同的授权模式
-
授权码模式:常见的第三方平台登录功能基本都是使用这种模式。
-
简化模式:简化模式是不需要客户端服务器参与,直接在浏览器中向授权服务器申请令牌(token),一般如果网站是纯静态页面则可以采用这种方式。
-
密码模式:密码模式是用户把用户名密码直接告诉客户端,客户端使用说这些信息向授权服务器申请令牌(token)。这需要用户对客户端高度信任,例如客户端应用和服务提供商就是同一家公司,我们自己做前后端分离登录就可以采用这种模式。
-
客户端模式:客户端模式是指客户端使用自己的名义而不是用户的名义向服务提供者申请授权,严格来说,客户端模式并不能算作 OAuth 协议要解决的问题的一种解决方案,但是,对于开发者而言,在一些前后端分离应用或者为移动端提供的认证授权服务器上使用这种模式还是非常方便的。
4.1、授权码模式
授权码模式是最安全并且使用最广泛的一种模式。以www.javaboy.org 为例,假如我要引入微信登录功能,那么我的流程可能是这样:
在授权码模式中,我们分授权服务器和资源服务器,授权服务器用来派发 Token,拿着 Token 则可以去资源服务器获取资源,这两个服务器可以分开,也可以合并。
上面这张流程图的含义,具体是这样:
1.首先,我会在我的 www.javaboy.org 这个网页上放一个超链接(我的网站相当于是第三方应用),用户 A (服务方的用户,例如微信用户)点击这个超链接就会去请求授权服务器(微信的授权服务器),用户点击的过程其实也就是我跟用户要授权的过程,这就是上图中的 1、2 步。
2.接下来的第三步,就是用户点击了超链接之后,像授权服务器发送请求,一般来说,我放在 www.javaboy.org 网页上的超链接可能有如下参数:https://wx.qq.com/oauth/authorizeresponse_type=code&client_id=javaboy&redirect_uri=www.javaboy.org&scope=all
这里边有好几个参数,在后面的代码中我们都会用到,这里先和大家简单解释一下:
3、接下来第四步,www.javaboy.org 这个网站,拿着第三步获取到的 code 以及自己的 client_id 和 client_secret 以及其他一些信息去授权服务器请求令牌,微信的授权服务器在校验过这些数据之后,就会发送一个令牌回来。这个过程一般是在后端完成的,而不是利用 js 去完成。
4、接下来拿着这个 token,我们就可以去请求用户信息了。
一般情况下我们认为授权码模式是四种模式中最安全的一种模式,因为这种模式我们的 access_token 不用经过浏览器或者移动端 App,是直接从我们的后台发送到授权服务器上,这样就很大程度减少了 access_token 泄漏的风险。
OAuth2.0最典型的授权码认证方式:
资源服务器和鉴权服务器都是属于资源所有方,也就是最终的服务提供方,第三接入方需要先与鉴权服务器申请合作获取客户编码。
对于资源服务器来说,需要做的是
1 accessToken和clientId的校验
2 token校验通过后要对token访问权限做好限制
对于鉴权服务器来说,需要做的是
1 接受第三方应用的申请,维护clientId
2 提供登入页面,做用户、密码鉴权
3 授权码生成和验证
4 token的生成
5 clientId、token的维护,一般clientId入库,token入内存
5、基于OAuth2.0的SSO单点登录
OAuth2有 授权服务器、资源服务器、客户端、用户(资源拥有者)这样几个角色,当我们用它来实现SSO的时候是不需要资源服务器这个角色的。授权服务器当然是用来做认证的,客户端就是各个应用系统,我们只需要登录成功后拿到用户信息以及用户所拥有的权限即可。
标签:
相关文章
-
无相关信息