1、什么是 OAuth2.0

OAuth (Open Authority的缩写)是一个开放标准,该标准允许用户让第三方应用访问该用户在某一网站上存储的私密资源(如头像、照片、视频等),而在这个过程中无需将用户名和密码提供给第三方应用。实现这一功能是通过提供一个令牌(token),而不是用户名和密码来访问他们存放在特定服务提供者的数据。采用令牌(token)的方式可以让用户灵活的对第三方应用授权或者收回权限。

OAuth2.0 是 OAuth 协议的下一版本,但不向下兼容 OAuth 1.0。传统的 Web 开发登录认证一般都是基于 session 的,但是在前后端分离的架构中继续使用 session 就会有许多不便,因为移动端(Android、iOS、微信小程序等)要么不支持 cookie(微信小程序),要么使用非常不便,对于这些问题,使用 OAuth2 认证都能解决。

对于大家而言,我们在互联网应用中最常见的 OAuth2 应该就是各种第三方登录了,例如 QQ 授权登录、微信授权登录、微博授权登录、GitHub 授权登录等等。

1.1、Auth2协议中,共有四个参与方(角色):

  • 1.resource owner:资源拥有者,即用户。
  • 2.resource server:资源服务器。即存储用户数据的服务器,一般对外都以RESTFul API的形式暴露用户数据,client使用access token访问resource server申请被保护起来的用户数据。
  • 3.client:客户端。即第三方应用。
  • 4.authorization server:授权服务器。用来鉴权第三方应用合法性,并对用户登录、是否授权第三方应用获取数据进行响应,并根据用户操作,向第三应用颁发code 或 用户token或者告知授权失败。

2、什么是单点登录?

单点登录的英文名是 Single Sign On,因此一般简称为SSO。它的用途在于,不管多么复杂的应用群,只要在用户权限范围内,那么就可以做到,用户只需要登录一次就可以访问权限范围内的所有应用子系统。对于用户而言,访问多个应用子系统只需要登录一次,同样在需要注销的时候也只需要注销一次。举个简单的例子,你在百度首页登录成功之后,你再访问百度百科、百度知道、百度贴吧等网站也会处于登录状态了,这就是一个单点登录的真实案例。

重要的是理解:

  • SSO服务端SSO客户端直接是通过授权以后发放Token的形式来访问受保护的资源;
  • 相对于浏览器来说,业务系统是服务端,相对于SSO服务端来说,业务系统是客户端;
  • 浏览器和业务系统之间通过会话正常访问;
  • 不是每次浏览器请求都要去SSO服务端去验证,只要浏览器和它所访问的服务端的会话有效它就可以正常访问。

2.2.  OAuth2

3、OAuth2.0授权与单点登录的区别

根据OAuth2.0授权与单点登录的概念,我们可以得知二者至少存在以下几点区别:

  1. 从信任角度来看。OAuth2.0授权服务端和第三方客户端不属于一个互相信任的应用群(通常都不是同一个公司提供的服务),第三方客户端的用户不属于OAuth2.0授权服务端的官方用户;而单点登录的服务端和接入的客户端都在一个互相信任的应用群(通常是同一个公司提供的服务),各个子系统的用户属于单点登录服务端的官方用户。
  2. 从资源角度来看。OAuth2.0授权主要是让用户自行决定——“我”在OAuth2.0服务提供方的个人资源是否允许第三方应用访问;而单点登录的资源都在客户端这边,单点登录的服务端主要用于登录,以及管理用户在各个子系统的权限信息。
  3. 从流程角度来看。OAuth2.0授权的时候,第三方客户端需要拿预先“商量”好的密码去获取Access Token;而单点登录则不需要。

4、OAuth2 协议一共支持 4 种不同的授权模式:

  1. 授权码模式:常见的第三方平台登录功能基本都是使用这种模式。

  2. 简化模式:简化模式是不需要客户端服务器参与,直接在浏览器中向授权服务器申请令牌(token),一般如果网站是纯静态页面则可以采用这种方式。

  3. 密码模式:密码模式是用户把用户名密码直接告诉客户端,客户端使用说这些信息向授权服务器申请令牌(token)。这需要用户对客户端高度信任,例如客户端应用和服务提供商就是同一家公司,我们自己做前后端分离登录就可以采用这种模式。

  4. 客户端模式:客户端模式是指客户端使用自己的名义而不是用户的名义向服务提供者申请授权,严格来说,客户端模式并不能算作 OAuth 协议要解决的问题的一种解决方案,但是,对于开发者而言,在一些前后端分离应用或者为移动端提供的认证授权服务器上使用这种模式还是非常方便的。

4.1、授权码模式

授权码模式是最安全并且使用最广泛的一种模式。以www.javaboy.org 为例,假如我要引入微信登录功能,那么我的流程可能是这样:

在授权码模式中,我们分授权服务器和资源服务器,授权服务器用来派发 Token,拿着 Token 则可以去资源服务器获取资源,这两个服务器可以分开,也可以合并。

上面这张流程图的含义,具体是这样:

  1. 首先,我会在我的 www.javaboy.org 这个网页上放一个超链接(我的网站相当于是第三方应用),用户 A (服务方的用户,例如微信用户)点击这个超链接就会去请求授权服务器(微信的授权服务器),用户点击的过程其实也就是我跟用户要授权的过程,这就是上图中的 1、2 步。

  2. 接下来的第三步,就是用户点击了超链接之后,像授权服务器发送请求,一般来说,我放在 www.javaboy.org 网页上的超链接可能有如下参数:

https://wx.qq.com/oauth/authorize?response_type=code&client_id=javaboy&redirect_uri=www.javaboy.org&scope=all

这里边有好几个参数,在后面的代码中我们都会用到,这里先和大家简单解释一下:

  • response_type 表示授权类型,使用授权码模式的时候这里固定为 code,表示要求返回授权码(将来拿着这个授权码去获取 access_token)。

  • client_id 表示客户端 id,也就是我应用的 id。有的小伙伴对这个不好理解,我说一下,如果我想让我的 www.javaboy.org 接入微信登录功能,我肯定得去微信开放平台注册,去填入我自己应用的基本信息等等,弄完之后,微信会给我一个 APPID,也就是我这里的 client_id,所以,从这里可以看出,授权服务器在校验的时候,会做两件事:1.校验客户端的身份;2.校验用户身份。

  • redirect_uri 表示用户登录在成功/失败后,跳转的地址(成功登录微信后,跳转到 www.javaboy.org 中的哪个页面),跳转的时候,还会携带上一个授权码参数。

  • scope 表示授权范围,即 www.javaboy.org 这个网站拿着用户的 token 都能干啥(一般来说就是获取用户非敏感的基本信息)。

3、接下来第四步,www.javaboy.org 这个网站,拿着第三步获取到的 code 以及自己的 client_id 和 client_secret 以及其他一些信息去授权服务器请求令牌,微信的授权服务器在校验过这些数据之后,就会发送一个令牌回来。这个过程一般是在后端完成的,而不是利用 js 去完成。

4、接下来拿着这个 token,我们就可以去请求用户信息了。

一般情况下我们认为授权码模式是四种模式中最安全的一种模式,因为这种模式我们的 access_token 不用经过浏览器或者移动端 App,是直接从我们的后台发送到授权服务器上,这样就很大程度减少了 access_token 泄漏的风险。

OAuth2.0最典型的授权码认证方式:


资源服务器和鉴权服务器都是属于资源所有方,也就是最终的服务提供方,第三接入方需要先与鉴权服务器申请合作获取客户编码。

对于资源服务器来说,需要做的是

1 accessToken和clientId的校验

2 token校验通过后要对token访问权限做好限制

对于鉴权服务器来说,需要做的是

1 接受第三方应用的申请,维护clientId

2 提供登入页面,做用户、密码鉴权

3 授权码生成和验证

4 token的生成

5 clientId、token的维护,一般clientId入库,token入内存

5、基于oauth2.0的sso单点登录

OAuth2有 授权服务器、资源服务器、客户端、用户(资源拥有者)这样几个角色,当我们用它来实现SSO的时候是不需要资源服务器这个角色的。授权服务器当然是用来做认证的,客户端就是各个应用系统,我们只需要登录成功后拿到用户信息以及用户所拥有的权限即可。

oauth2.0与单点登录相关推荐

  1. Oauth2.0实现单点登录的原理流程,这次总该懂了!

    单点登录是多域名企业站点流行的登录方式.本文以现实生活场景辅助理解,力争彻底理清 OAuth2.0 实现单点登录的原理流程.同时总结了权限控制的实现方案,及其在微服务架构中的应用. 1 什么是单点登录 ...

  2. Oauth2.0实现单点登录的原理流程

    Oauth2.0实现单点登录的原理流程 1.什么是单点登录 2.OAuth2 认证授权的原理流程 3.基于 SpringBoot 实现认证/授权 4.综合运用 1.什么是单点登录 1.1 多点登录 传 ...

  3. Oauth2.0实现单点登录的原理流程,通俗易懂

    单点登录是多域名企业站点流行的登录方式.本文以现实生活场景辅助理解,力争彻底理清 OAuth2.0 实现单点登录的原理流程.同时总结了权限控制的实现方案,及其在微服务架构中的应用. 1 什么是单点登录 ...

  4. Oauth2.0实现单点登录的原理流程,通俗易懂!

    点击上方☝码猿技术专栏 轻松关注,设为星标! 及时获取有趣有料的技术 单点登录是多域名企业站点流行的登录方式.本文以现实生活场景辅助理解,力争彻底理清 OAuth2.0 实现单点登录的原理流程.同时总 ...

  5. OAuth2.0实现单点登录的原理

    一.什么是单点登录 单点登录,英文是 Single Sign On,缩写为 SSO.多个站点(192.168.1.20X)共用一台认证授权服务器(192.168.1.110,用户数据库和认证授权模块共 ...

  6. 使用Spring Secuirty Oauth2实现SSO单点登录

    文章目录 1. 什么是单点登录 2. 微服务架构下单点登录的思路 3. 使用 Spring Secuirty Oauth2 实现SSO单点登录 ①:建表 ②:授权服务器逻辑 ③:网关逻辑 4. 接口测 ...

  7. 前后端分离基于Oauth2的SSO单点登录怎样做?

    一.说明 单点登录顾名思义就是在多个应用系统中,只需要登录一次,就可以访问其他相互信任的应用系统,免除多次登录的烦恼:本文主要介绍跨域间的 前后端分离 项目怎样实现单点登录,并且与 非前后端分离 的差 ...

  8. [OAuth2.0三方登录系列文章-1]OAuth2.0与三方登录的端到端方案

    系列文章 [OAuth2.0三方登录系列文章-1]OAuth2.0与三方登录的端到端方案 [OAuth2.0三方登录系列文章-2]如何设计基于OAuth2.0的授权登录SDK以及竞品分析 [OAuth ...

  9. cas6.0.4 单点登录

    sso单点登录cas6.0.4 单点登录原理(原来参考网上资料) 有一个独立的认证中心,只有认证中心才能接受用户的用户名和密码等信息进行认证,其他系统不提供登录入口,只接受认证中心的间接授权.间接授权 ...

最新文章

  1. Modbus设备调试工具Winform(包括SRC0001、海康威视、TTS以及各种类型LED的测试)...
  2. 全局和本地事务(从理论上)
  3. network: Android 网络判断(wifi、3G与其他)
  4. C++ 字符串指针和字符串指针数组详解
  5. 矩阵每一行重复_python:19.顺时针打印矩阵
  6. [SDOI2007] 单词接龙游戏 dp
  7. 《how to write and publish a scientific paper》 Chapter 4
  8. LDA算法原理及matlab实现
  9. Ubuntu操作系统MTK刷机工具失败解决方案
  10. 【协议分析】PC QQ协议聊天内容破解
  11. 转发小程序php,微信小程序 转发功能的实现
  12. Matlab之数据筛选
  13. emlog模板酷黑自适应CoolBlack主题 黑的有质感
  14. EXCEL如何固定住一行和一列
  15. EditText属性和一些小技巧
  16. linux系统中vi/vim文本编辑器的使用简介
  17. 怎样用计算机打出Abc,妙用智能ABC输入法 -电脑资料
  18. B. Combinatorics Homework(抽屉原理)
  19. 陌陌突然改名Hello,能撕掉固有标签吗?
  20. intra-mart introduction

热门文章

  1. 支付宝支付APP服务端PHP
  2. vs_installer.exe打不开 闪退的解决方法
  3. VUE前端,小程序,APP签名盖章
  4. HDU - 6589 Sequence (生成函数+NTT)
  5. ***WAAAAA***
  6. 纺织ERP系统_纺织管理系统_纺织订单管理
  7. Ashampoo Music Studio 8(阿香婆音频剪辑软件电脑版)官方中文版V8.0.4 | 音频剪辑软件哪个好用
  8. python 网页版支付宝 api_Python接入支付宝进行PC端支付
  9. typescript 文档阅读笔记-Unions and Intersection Types
  10. 抖音群控软件教你如何玩转短视频营销