在微服務(wù)時(shí)代,用戶需要在多個(gè)應(yīng)用程序和服務(wù)之間進(jìn)行無(wú)縫切換���,同時(shí)保持其登錄狀態(tài)�。我們可以通過(guò)單點(diǎn)登錄(SSO)或者 OAuth2.0 等身份驗(yàn)證和授權(quán)協(xié)議來(lái)實(shí)現(xiàn)這一目標(biāo)。
1 單點(diǎn)登錄(SSO)
單點(diǎn)登錄(SSO)是一種身份驗(yàn)證方法����,允許用戶在一個(gè)應(yīng)用程序或服務(wù)中登錄后,無(wú)需再次輸入憑據(jù)即可訪問(wèn)其他相關(guān)應(yīng)用程序或服務(wù)��。這種方法通過(guò)將登錄認(rèn)證和業(yè)務(wù)系統(tǒng)分離�����,使用獨(dú)立的登錄中心���,實(shí)現(xiàn)了在登錄中心登錄后�����,所有相關(guān)的業(yè)務(wù)系統(tǒng)都能免登錄訪問(wèn)資源。
SSO 單點(diǎn)登錄的方案實(shí)際上有很多種:
- 基于會(huì)話的單點(diǎn)登錄(Session-Based SSO):
這是最早和最簡(jiǎn)單的單點(diǎn)登錄實(shí)現(xiàn)方式�。當(dāng)用戶在第一個(gè)應(yīng)用程序中登錄時(shí),服務(wù)器會(huì)創(chuàng)建一個(gè)會(huì)話���,并將該會(huì)話 ID 存儲(chǔ)在用戶的瀏覽器中(通常是通過(guò) Cookie)��。當(dāng)用戶訪問(wèn)其他應(yīng)用程序時(shí)����,瀏覽器會(huì)發(fā)送該會(huì)話 ID,從而允許服務(wù)器驗(yàn)證用戶的身份��。此方法的缺點(diǎn)是它依賴于瀏覽器和會(huì)話狀態(tài)�����,對(duì)于分布式或者微服務(wù)系統(tǒng)而言��,可能需要在服務(wù)端做會(huì)話共享���,但是服務(wù)端會(huì)話共享效率比較低����,這不是一個(gè)好的方案��。對(duì)這種方案感興趣的話可以看看松哥之前發(fā)的 Spring Session 會(huì)話共享的文章���。
- 基于令牌的單點(diǎn)登錄(Token-Based SSO):
這種方法通常使用 JSON Web Tokens(JWT)或類似的令牌格式�����。當(dāng)用戶在第一個(gè)應(yīng)用程序中登錄時(shí)�,服務(wù)器會(huì)生成一個(gè)包含用戶信息的令牌,并將其發(fā)送給客戶端(通常是瀏覽器)�����?����?蛻舳藭?huì)存儲(chǔ)這個(gè)令牌����,并在訪問(wèn)其他應(yīng)用程序時(shí)將其作為請(qǐng)求的一部分發(fā)送。應(yīng)用程序會(huì)驗(yàn)證令牌的有效性�,并據(jù)此授予用戶訪問(wèn)權(quán)限。這種方法更加安全和靈活�����,因?yàn)樗灰蕾囉跁?huì)話狀態(tài)��,可以在多個(gè)域和服務(wù)器之間工作����。這種方案實(shí)際上有很多變種��,但是目前大部分的分布式項(xiàng)目單點(diǎn)登錄基本上都是這種方案,或者是基于這種方案衍生出來(lái)的變種方案�����。
- 基于 OAuth 的單點(diǎn)登錄(OAuth-Based SSO):
OAuth 是一個(gè)開(kāi)放標(biāo)準(zhǔn)��,允許用戶授權(quán)第三方應(yīng)用程序訪問(wèn)其存儲(chǔ)在另一個(gè)服務(wù)提供商上的信息�����,而無(wú)需將用戶名和密碼提供給該第三方應(yīng)用程序���。OAuth2.0 是最常用的版本��,它支持多種授權(quán)流程����,包括授權(quán)碼流程����、隱式流程和客戶端憑據(jù)流程。
在單點(diǎn)登錄的上下文中��,OAuth 可以用作一個(gè)中介,用戶在一個(gè)“授權(quán)服務(wù)器”上登錄��,并獲得一個(gè)訪問(wèn)令牌����,該令牌可以用于訪問(wèn)其他“資源服務(wù)器”上的資源。OAuth 提供了豐富的功能和安全性��,但它也相對(duì)復(fù)雜�����,需要仔細(xì)配置和管理���。松哥之前也專門寫(xiě)過(guò) OAuth2 相關(guān)的教程���,大家在公眾號(hào)后臺(tái)回復(fù) oauth2 有鏈接。
- 基于SAML的單點(diǎn)登錄(SAML-Based SSO):
SAML(Security Assertion Markup Language)是一種 XML 框架����,用于在不同安全域之間交換身份驗(yàn)證和授權(quán)信息。SAML 允許一個(gè)實(shí)體(通常是身份提供商或 IdP)向另一個(gè)實(shí)體(通常是服務(wù)提供商或 SP)發(fā)送安全斷言��,證明用戶已經(jīng)成功登錄��。SAML 通常與 OAuth 結(jié)合使用�����,以提供更強(qiáng)大和靈活的單點(diǎn)登錄解決方案����。但是 SAML 比較復(fù)雜,所以維護(hù)起來(lái)可能會(huì)有壓力��。
回到具體的生產(chǎn)環(huán)境����,選擇哪種單點(diǎn)登錄方案取決于具體的需求和環(huán)境。對(duì)于是分布式但是又比較簡(jiǎn)單的內(nèi)部應(yīng)用程序�����,基于會(huì)話的 SSO 可能就足夠了��。但是大型分布式系統(tǒng)��,基于令牌或 OAuth 的 SSO 可能更合適���。小伙伴還是要結(jié)合自己的實(shí)際項(xiàng)目去選擇���。
2 OAuth2.0
OAuth2.0 是一種開(kāi)放授權(quán)協(xié)議�����,允許用戶授權(quán)第三方應(yīng)用程序訪問(wèn)其存儲(chǔ)在服務(wù)提供商(如QQ�、WeiXin���、抖音等)上的特定資源���。與 SSO 類似,OAuth2.0 也使用了令牌的概念來(lái)實(shí)現(xiàn)身份驗(yàn)證和授權(quán)�����。
OAuth2.0 定義了四種授權(quán)模式��,分別是:
其中����,授權(quán)碼模式是最常用的一種模式,適用于那些有后端的 Web 應(yīng)用程序��。在這種模式下���,第三方應(yīng)用程序首先向授權(quán)服務(wù)器申請(qǐng)一個(gè)授權(quán)碼��,然后使用這個(gè)授權(quán)碼向授權(quán)服務(wù)器請(qǐng)求訪問(wèn)令牌��。一旦獲得訪問(wèn)令牌���,第三方應(yīng)用程序就可以使用這個(gè)令牌訪問(wèn)用戶授權(quán)的資源。
注意�,OAuth2.0 并不直接實(shí)現(xiàn)單點(diǎn)登錄功能。它主要關(guān)注授權(quán)和訪問(wèn)控制�����,允許用戶授權(quán)第三方應(yīng)用程序訪問(wèn)其資源���。然而��,通過(guò)與其他技術(shù)(如SSO)結(jié)合使用�����,OAuth2.0 可以實(shí)現(xiàn)單點(diǎn)登錄的效果����。
目前來(lái)說(shuō),如果你想在項(xiàng)目中使用 OAuth2 的話��,主要有如下幾種主流框架:
- Spring Security OAuth:Spring Security OAuth 是 Spring框架的一個(gè)擴(kuò)展��,提供了對(duì) OAuth2 協(xié)議的全面支持����。它允許開(kāi)發(fā)者在 Spring 應(yīng)用程序中輕松實(shí)現(xiàn) OAuth2 認(rèn)證和授權(quán)流程,包括授權(quán)服務(wù)器���、資源服務(wù)器和客戶端應(yīng)用程序的配置����。
- Keycloak:Keycloak 是一個(gè)開(kāi)源的身份和訪問(wèn)管理解決方案��,它支持 OAuth2���、OpenID Connect 和其他身份協(xié)議��。Keycloak 提供了一個(gè)易于使用的管理界面���,允許開(kāi)發(fā)者配置和管理 OAuth2 相關(guān)的設(shè)置,如客戶端�、用戶和角色等�。
- Apache Oltu:Apache Oltu 是一個(gè)實(shí)現(xiàn)了 OAuth2 協(xié)議的 Java 庫(kù)����,它提供了對(duì) OAuth2 流程的抽象和簡(jiǎn)化。Oltu 可以幫助開(kāi)發(fā)者快速構(gòu)建 OAuth2 客戶端和服務(wù)器組件����,并支持多種授權(quán)流程�����,如授權(quán)碼流程�����、隱式流程等���。
這些框架和庫(kù)提供了 OAuth2 協(xié)議的完整實(shí)現(xiàn)��,包括令牌生成�、驗(yàn)證�����、刷新、撤銷等�。它們簡(jiǎn)化了 OAuth2 流程的集成,使得開(kāi)發(fā)者能夠?qū)W⒂跇I(yè)務(wù)邏輯的實(shí)現(xiàn)�,而無(wú)需過(guò)多關(guān)注底層的認(rèn)證和授權(quán)細(xì)節(jié)。
3 SSO 與 OAuth2.0
首先�,SSO 主要關(guān)注用戶在多個(gè)應(yīng)用程序和服務(wù)之間的無(wú)縫切換和保持登錄狀態(tài)的問(wèn)題。它通過(guò)獨(dú)立的登錄中心來(lái)實(shí)現(xiàn)這一目標(biāo)�,使用戶只需在一個(gè)地方輸入憑據(jù)即可訪問(wèn)所有相關(guān)應(yīng)用程序和服務(wù)。而 OAuth2.0 則主要關(guān)注授權(quán)和訪問(wèn)控制的問(wèn)題��,允許用戶授權(quán)第三方應(yīng)用程序訪問(wèn)其存儲(chǔ)在服務(wù)提供商上的特定資源����。
其次,SSO 通常只涉及用戶����、登錄中心和業(yè)務(wù)系統(tǒng)之間的交互,而 OAuth2.0 則涉及用戶���、第三方應(yīng)用程序���、授權(quán)服務(wù)器和資源服務(wù)器之間的交互。這使得 OAuth2.0 更加復(fù)雜和靈活����,適用于多種場(chǎng)景和應(yīng)用程序類型��。
該文章在 2024/3/19 11:19:08 編輯過(guò)
400 186 1886
