在微服務(wù)時(shí)代��,用戶需要在多個(gè)應(yīng)用程序和服務(wù)之間進(jìn)行無(wú)縫切換��,同時(shí)保持其登錄狀態(tài)��。我們可以通過(guò)單點(diǎn)登錄(SSO)或者 OAuth2.0 等身份驗(yàn)證和授權(quán)協(xié)議來(lái)實(shí)現(xiàn)這一目標(biāo)�����。
1 單點(diǎn)登錄(SSO)
單點(diǎn)登錄(SSO)是一種身份驗(yàn)證方法��,允許用戶在一個(gè)應(yīng)用程序或服務(wù)中登錄后,無(wú)需再次輸入憑據(jù)即可訪問(wèn)其他相關(guān)應(yīng)用程序或服務(wù)��。這種方法通過(guò)將登錄認(rèn)證和業(yè)務(wù)系統(tǒng)分離�����,使用獨(dú)立的登錄中心��,實(shí)現(xiàn)了在登錄中心登錄后,所有相關(guān)的業(yè)務(wù)系統(tǒng)都能免登錄訪問(wèn)資源��。
SSO 單點(diǎn)登錄的方案實(shí)際上有很多種:
- 基于會(huì)話的單點(diǎn)登錄(Session-Based SSO):
這是最早和最簡(jiǎn)單的單點(diǎn)登錄實(shí)現(xiàn)方式�����。當(dāng)用戶在第一個(gè)應(yīng)用程序中登錄時(shí)��,服務(wù)器會(huì)創(chuàng)建一個(gè)會(huì)話,并將該會(huì)話 ID 存儲(chǔ)在用戶的瀏覽器中(通常是通過(guò) Cookie)�����。當(dāng)用戶訪問(wèn)其他應(yīng)用程序時(shí)�����,瀏覽器會(huì)發(fā)送該會(huì)話 ID���,從而允許服務(wù)器驗(yàn)證用戶的身份。此方法的缺點(diǎn)是它依賴于瀏覽器和會(huì)話狀態(tài),對(duì)于分布式或者微服務(wù)系統(tǒng)而言���,可能需要在服務(wù)端做會(huì)話共享,但是服務(wù)端會(huì)話共享效率比較低,這不是一個(gè)好的方案。對(duì)這種方案感興趣的話可以看看松哥之前發(fā)的 Spring Session 會(huì)話共享的文章���。
- 基于令牌的單點(diǎn)登錄(Token-Based SSO):
這種方法通常使用 JSON Web Tokens(JWT)或類似的令牌格式。當(dāng)用戶在第一個(gè)應(yīng)用程序中登錄時(shí),服務(wù)器會(huì)生成一個(gè)包含用戶信息的令牌���,并將其發(fā)送給客戶端(通常是瀏覽器)。客戶端會(huì)存儲(chǔ)這個(gè)令牌,并在訪問(wèn)其他應(yīng)用程序時(shí)將其作為請(qǐng)求的一部分發(fā)送���。應(yīng)用程序會(huì)驗(yàn)證令牌的有效性,并據(jù)此授予用戶訪問(wèn)權(quán)限。這種方法更加安全和靈活��,因?yàn)樗灰蕾囉跁?huì)話狀態(tài)���,可以在多個(gè)域和服務(wù)器之間工作���。這種方案實(shí)際上有很多變種���,但是目前大部分的分布式項(xiàng)目單點(diǎn)登錄基本上都是這種方案��,或者是基于這種方案衍生出來(lái)的變種方案�����。
- 基于 OAuth 的單點(diǎn)登錄(OAuth-Based SSO):
OAuth 是一個(gè)開(kāi)放標(biāo)準(zhǔn)��,允許用戶授權(quán)第三方應(yīng)用程序訪問(wèn)其存儲(chǔ)在另一個(gè)服務(wù)提供商上的信息,而無(wú)需將用戶名和密碼提供給該第三方應(yīng)用程序���。OAuth2.0 是最常用的版本,它支持多種授權(quán)流程���,包括授權(quán)碼流程、隱式流程和客戶端憑據(jù)流程���。
在單點(diǎn)登錄的上下文中��,OAuth 可以用作一個(gè)中介��,用戶在一個(gè)“授權(quán)服務(wù)器”上登錄,并獲得一個(gè)訪問(wèn)令牌,該令牌可以用于訪問(wèn)其他“資源服務(wù)器”上的資源�����。OAuth 提供了豐富的功能和安全性���,但它也相對(duì)復(fù)雜���,需要仔細(xì)配置和管理�����。松哥之前也專門寫過(guò) OAuth2 相關(guān)的教程�����,大家在公眾號(hào)后臺(tái)回復(fù) oauth2 有鏈接。
- 基于SAML的單點(diǎn)登錄(SAML-Based SSO):
SAML(Security Assertion Markup Language)是一種 XML 框架,用于在不同安全域之間交換身份驗(yàn)證和授權(quán)信息��。SAML 允許一個(gè)實(shí)體(通常是身份提供商或 IdP)向另一個(gè)實(shí)體(通常是服務(wù)提供商或 SP)發(fā)送安全斷言��,證明用戶已經(jīng)成功登錄�����。SAML 通常與 OAuth 結(jié)合使用,以提供更強(qiáng)大和靈活的單點(diǎn)登錄解決方案。但是 SAML 比較復(fù)雜,所以維護(hù)起來(lái)可能會(huì)有壓力。
回到具體的生產(chǎn)環(huán)境��,選擇哪種單點(diǎn)登錄方案取決于具體的需求和環(huán)境�����。對(duì)于是分布式但是又比較簡(jiǎn)單的內(nèi)部應(yīng)用程序,基于會(huì)話的 SSO 可能就足夠了���。但是大型分布式系統(tǒng),基于令牌或 OAuth 的 SSO 可能更合適�����。小伙伴還是要結(jié)合自己的實(shí)際項(xiàng)目去選擇��。
2 OAuth2.0
OAuth2.0 是一種開(kāi)放授權(quán)協(xié)議�����,允許用戶授權(quán)第三方應(yīng)用程序訪問(wèn)其存儲(chǔ)在服務(wù)提供商(如QQ、WeiXin��、抖音等)上的特定資源�����。與 SSO 類似���,OAuth2.0 也使用了令牌的概念來(lái)實(shí)現(xiàn)身份驗(yàn)證和授權(quán)��。
OAuth2.0 定義了四種授權(quán)模式,分別是:
其中��,授權(quán)碼模式是最常用的一種模式���,適用于那些有后端的 Web 應(yīng)用程序。在這種模式下���,第三方應(yīng)用程序首先向授權(quán)服務(wù)器申請(qǐng)一個(gè)授權(quán)碼,然后使用這個(gè)授權(quán)碼向授權(quán)服務(wù)器請(qǐng)求訪問(wèn)令牌���。一旦獲得訪問(wèn)令牌���,第三方應(yīng)用程序就可以使用這個(gè)令牌訪問(wèn)用戶授權(quán)的資源�����。
注意��,OAuth2.0 并不直接實(shí)現(xiàn)單點(diǎn)登錄功能。它主要關(guān)注授權(quán)和訪問(wèn)控制�����,允許用戶授權(quán)第三方應(yīng)用程序訪問(wèn)其資源�����。然而��,通過(guò)與其他技術(shù)(如SSO)結(jié)合使用,OAuth2.0 可以實(shí)現(xiàn)單點(diǎn)登錄的效果���。
目前來(lái)說(shuō),如果你想在項(xiàng)目中使用 OAuth2 的話�����,主要有如下幾種主流框架:
- Spring Security OAuth:Spring Security OAuth 是 Spring框架的一個(gè)擴(kuò)展���,提供了對(duì) OAuth2 協(xié)議的全面支持�����。它允許開(kāi)發(fā)者在 Spring 應(yīng)用程序中輕松實(shí)現(xiàn) OAuth2 認(rèn)證和授權(quán)流程,包括授權(quán)服務(wù)器、資源服務(wù)器和客戶端應(yīng)用程序的配置。
- Keycloak:Keycloak 是一個(gè)開(kāi)源的身份和訪問(wèn)管理解決方案�����,它支持 OAuth2�����、OpenID Connect 和其他身份協(xié)議�����。Keycloak 提供了一個(gè)易于使用的管理界面,允許開(kāi)發(fā)者配置和管理 OAuth2 相關(guān)的設(shè)置,如客戶端���、用戶和角色等。
- Apache Oltu:Apache Oltu 是一個(gè)實(shí)現(xiàn)了 OAuth2 協(xié)議的 Java 庫(kù),它提供了對(duì) OAuth2 流程的抽象和簡(jiǎn)化。Oltu 可以幫助開(kāi)發(fā)者快速構(gòu)建 OAuth2 客戶端和服務(wù)器組件�����,并支持多種授權(quán)流程���,如授權(quán)碼流程�����、隱式流程等��。
這些框架和庫(kù)提供了 OAuth2 協(xié)議的完整實(shí)現(xiàn),包括令牌生成、驗(yàn)證、刷新、撤銷等�����。它們簡(jiǎn)化了 OAuth2 流程的集成�����,使得開(kāi)發(fā)者能夠?qū)W⒂跇I(yè)務(wù)邏輯的實(shí)現(xiàn)���,而無(wú)需過(guò)多關(guān)注底層的認(rèn)證和授權(quán)細(xì)節(jié)�����。
3 SSO 與 OAuth2.0
首先,SSO 主要關(guān)注用戶在多個(gè)應(yīng)用程序和服務(wù)之間的無(wú)縫切換和保持登錄狀態(tài)的問(wèn)題。它通過(guò)獨(dú)立的登錄中心來(lái)實(shí)現(xiàn)這一目標(biāo)�����,使用戶只需在一個(gè)地方輸入憑據(jù)即可訪問(wèn)所有相關(guān)應(yīng)用程序和服務(wù)�����。而 OAuth2.0 則主要關(guān)注授權(quán)和訪問(wèn)控制的問(wèn)題���,允許用戶授權(quán)第三方應(yīng)用程序訪問(wèn)其存儲(chǔ)在服務(wù)提供商上的特定資源�����。
其次,SSO 通常只涉及用戶�����、登錄中心和業(yè)務(wù)系統(tǒng)之間的交互��,而 OAuth2.0 則涉及用戶��、第三方應(yīng)用程序�����、授權(quán)服務(wù)器和資源服務(wù)器之間的交互�����。這使得 OAuth2.0 更加復(fù)雜和靈活,適用于多種場(chǎng)景和應(yīng)用程序類型���。
該文章在 2024/3/19 11:19:08 編輯過(guò)
400 186 1886
