在微服務(wù)時(shí)代,用戶(hù)需要在多個(gè)應(yīng)用程序和服務(wù)之間進(jìn)行無(wú)縫切換����,同時(shí)保持其登錄狀態(tài)。我們可以通過(guò)單點(diǎn)登錄(SSO)或者 OAuth2.0 等身份驗(yàn)證和授權(quán)協(xié)議來(lái)實(shí)現(xiàn)這一目標(biāo)��。
1 單點(diǎn)登錄(SSO)
單點(diǎn)登錄(SSO)是一種身份驗(yàn)證方法,允許用戶(hù)在一個(gè)應(yīng)用程序或服務(wù)中登錄后����,無(wú)需再次輸入憑據(jù)即可訪(fǎng)問(wèn)其他相關(guān)應(yīng)用程序或服務(wù)。這種方法通過(guò)將登錄認(rèn)證和業(yè)務(wù)系統(tǒng)分離��,使用獨(dú)立的登錄中心�,實(shí)現(xiàn)了在登錄中心登錄后,所有相關(guān)的業(yè)務(wù)系統(tǒng)都能免登錄訪(fǎng)問(wèn)資源��。
SSO 單點(diǎn)登錄的方案實(shí)際上有很多種:
- 基于會(huì)話(huà)的單點(diǎn)登錄(Session-Based SSO):
這是最早和最簡(jiǎn)單的單點(diǎn)登錄實(shí)現(xiàn)方式��。當(dāng)用戶(hù)在第一個(gè)應(yīng)用程序中登錄時(shí)�,服務(wù)器會(huì)創(chuàng)建一個(gè)會(huì)話(huà),并將該會(huì)話(huà) ID 存儲(chǔ)在用戶(hù)的瀏覽器中(通常是通過(guò) Cookie)�����。當(dāng)用戶(hù)訪(fǎng)問(wèn)其他應(yīng)用程序時(shí)�,瀏覽器會(huì)發(fā)送該會(huì)話(huà) ID���,從而允許服務(wù)器驗(yàn)證用戶(hù)的身份����。此方法的缺點(diǎn)是它依賴(lài)于瀏覽器和會(huì)話(huà)狀態(tài),對(duì)于分布式或者微服務(wù)系統(tǒng)而言�,可能需要在服務(wù)端做會(huì)話(huà)共享,但是服務(wù)端會(huì)話(huà)共享效率比較低���,這不是一個(gè)好的方案��。對(duì)這種方案感興趣的話(huà)可以看看松哥之前發(fā)的 Spring Session 會(huì)話(huà)共享的文章����。
- 基于令牌的單點(diǎn)登錄(Token-Based SSO):
這種方法通常使用 JSON Web Tokens(JWT)或類(lèi)似的令牌格式����。當(dāng)用戶(hù)在第一個(gè)應(yīng)用程序中登錄時(shí),服務(wù)器會(huì)生成一個(gè)包含用戶(hù)信息的令牌�,并將其發(fā)送給客戶(hù)端(通常是瀏覽器)?����?蛻?hù)端會(huì)存儲(chǔ)這個(gè)令牌����,并在訪(fǎng)問(wèn)其他應(yīng)用程序時(shí)將其作為請(qǐng)求的一部分發(fā)送。應(yīng)用程序會(huì)驗(yàn)證令牌的有效性����,并據(jù)此授予用戶(hù)訪(fǎng)問(wèn)權(quán)限����。這種方法更加安全和靈活���,因?yàn)樗灰蕾?lài)于會(huì)話(huà)狀態(tài)�����,可以在多個(gè)域和服務(wù)器之間工作���。這種方案實(shí)際上有很多變種,但是目前大部分的分布式項(xiàng)目單點(diǎn)登錄基本上都是這種方案���,或者是基于這種方案衍生出來(lái)的變種方案�。
- 基于 OAuth 的單點(diǎn)登錄(OAuth-Based SSO):
OAuth 是一個(gè)開(kāi)放標(biāo)準(zhǔn)��,允許用戶(hù)授權(quán)第三方應(yīng)用程序訪(fǎng)問(wèn)其存儲(chǔ)在另一個(gè)服務(wù)提供商上的信息����,而無(wú)需將用戶(hù)名和密碼提供給該第三方應(yīng)用程序�。OAuth2.0 是最常用的版本����,它支持多種授權(quán)流程�,包括授權(quán)碼流程、隱式流程和客戶(hù)端憑據(jù)流程��。
在單點(diǎn)登錄的上下文中�����,OAuth 可以用作一個(gè)中介���,用戶(hù)在一個(gè)“授權(quán)服務(wù)器”上登錄�����,并獲得一個(gè)訪(fǎng)問(wèn)令牌�����,該令牌可以用于訪(fǎng)問(wèn)其他“資源服務(wù)器”上的資源���。OAuth 提供了豐富的功能和安全性,但它也相對(duì)復(fù)雜�����,需要仔細(xì)配置和管理。松哥之前也專(zhuān)門(mén)寫(xiě)過(guò) OAuth2 相關(guān)的教程�����,大家在公眾號(hào)后臺(tái)回復(fù) oauth2 有鏈接�����。
- 基于SAML的單點(diǎn)登錄(SAML-Based SSO):
SAML(Security Assertion Markup Language)是一種 XML 框架����,用于在不同安全域之間交換身份驗(yàn)證和授權(quán)信息。SAML 允許一個(gè)實(shí)體(通常是身份提供商或 IdP)向另一個(gè)實(shí)體(通常是服務(wù)提供商或 SP)發(fā)送安全斷言��,證明用戶(hù)已經(jīng)成功登錄��。SAML 通常與 OAuth 結(jié)合使用���,以提供更強(qiáng)大和靈活的單點(diǎn)登錄解決方案����。但是 SAML 比較復(fù)雜��,所以維護(hù)起來(lái)可能會(huì)有壓力����。
回到具體的生產(chǎn)環(huán)境,選擇哪種單點(diǎn)登錄方案取決于具體的需求和環(huán)境��。對(duì)于是分布式但是又比較簡(jiǎn)單的內(nèi)部應(yīng)用程序��,基于會(huì)話(huà)的 SSO 可能就足夠了���。但是大型分布式系統(tǒng)�����,基于令牌或 OAuth 的 SSO 可能更合適�。小伙伴還是要結(jié)合自己的實(shí)際項(xiàng)目去選擇���。
2 OAuth2.0
OAuth2.0 是一種開(kāi)放授權(quán)協(xié)議����,允許用戶(hù)授權(quán)第三方應(yīng)用程序訪(fǎng)問(wèn)其存儲(chǔ)在服務(wù)提供商(如QQ�����、WeiXin、抖音等)上的特定資源���。與 SSO 類(lèi)似���,OAuth2.0 也使用了令牌的概念來(lái)實(shí)現(xiàn)身份驗(yàn)證和授權(quán)。
OAuth2.0 定義了四種授權(quán)模式�,分別是:
其中,授權(quán)碼模式是最常用的一種模式�����,適用于那些有后端的 Web 應(yīng)用程序����。在這種模式下,第三方應(yīng)用程序首先向授權(quán)服務(wù)器申請(qǐng)一個(gè)授權(quán)碼����,然后使用這個(gè)授權(quán)碼向授權(quán)服務(wù)器請(qǐng)求訪(fǎng)問(wèn)令牌。一旦獲得訪(fǎng)問(wèn)令牌���,第三方應(yīng)用程序就可以使用這個(gè)令牌訪(fǎng)問(wèn)用戶(hù)授權(quán)的資源����。
注意,OAuth2.0 并不直接實(shí)現(xiàn)單點(diǎn)登錄功能��。它主要關(guān)注授權(quán)和訪(fǎng)問(wèn)控制���,允許用戶(hù)授權(quán)第三方應(yīng)用程序訪(fǎng)問(wèn)其資源。然而�����,通過(guò)與其他技術(shù)(如SSO)結(jié)合使用���,OAuth2.0 可以實(shí)現(xiàn)單點(diǎn)登錄的效果�。
目前來(lái)說(shuō)����,如果你想在項(xiàng)目中使用 OAuth2 的話(huà),主要有如下幾種主流框架:
- Spring Security OAuth:Spring Security OAuth 是 Spring框架的一個(gè)擴(kuò)展����,提供了對(duì) OAuth2 協(xié)議的全面支持。它允許開(kāi)發(fā)者在 Spring 應(yīng)用程序中輕松實(shí)現(xiàn) OAuth2 認(rèn)證和授權(quán)流程����,包括授權(quán)服務(wù)器����、資源服務(wù)器和客戶(hù)端應(yīng)用程序的配置��。
- Keycloak:Keycloak 是一個(gè)開(kāi)源的身份和訪(fǎng)問(wèn)管理解決方案����,它支持 OAuth2、OpenID Connect 和其他身份協(xié)議��。Keycloak 提供了一個(gè)易于使用的管理界面�����,允許開(kāi)發(fā)者配置和管理 OAuth2 相關(guān)的設(shè)置�����,如客戶(hù)端�、用戶(hù)和角色等。
- Apache Oltu:Apache Oltu 是一個(gè)實(shí)現(xiàn)了 OAuth2 協(xié)議的 Java 庫(kù)�����,它提供了對(duì) OAuth2 流程的抽象和簡(jiǎn)化。Oltu 可以幫助開(kāi)發(fā)者快速構(gòu)建 OAuth2 客戶(hù)端和服務(wù)器組件��,并支持多種授權(quán)流程����,如授權(quán)碼流程、隱式流程等�����。
這些框架和庫(kù)提供了 OAuth2 協(xié)議的完整實(shí)現(xiàn)���,包括令牌生成、驗(yàn)證�、刷新、撤銷(xiāo)等�。它們簡(jiǎn)化了 OAuth2 流程的集成,使得開(kāi)發(fā)者能夠?qū)W⒂跇I(yè)務(wù)邏輯的實(shí)現(xiàn)�����,而無(wú)需過(guò)多關(guān)注底層的認(rèn)證和授權(quán)細(xì)節(jié)��。
3 SSO 與 OAuth2.0
首先���,SSO 主要關(guān)注用戶(hù)在多個(gè)應(yīng)用程序和服務(wù)之間的無(wú)縫切換和保持登錄狀態(tài)的問(wèn)題����。它通過(guò)獨(dú)立的登錄中心來(lái)實(shí)現(xiàn)這一目標(biāo),使用戶(hù)只需在一個(gè)地方輸入憑據(jù)即可訪(fǎng)問(wèn)所有相關(guān)應(yīng)用程序和服務(wù)���。而 OAuth2.0 則主要關(guān)注授權(quán)和訪(fǎng)問(wèn)控制的問(wèn)題����,允許用戶(hù)授權(quán)第三方應(yīng)用程序訪(fǎng)問(wèn)其存儲(chǔ)在服務(wù)提供商上的特定資源��。
其次����,SSO 通常只涉及用戶(hù)、登錄中心和業(yè)務(wù)系統(tǒng)之間的交互����,而 OAuth2.0 則涉及用戶(hù)、第三方應(yīng)用程序���、授權(quán)服務(wù)器和資源服務(wù)器之間的交互����。這使得 OAuth2.0 更加復(fù)雜和靈活,適用于多種場(chǎng)景和應(yīng)用程序類(lèi)型����。
該文章在 2024/3/19 11:19:08 編輯過(guò)
400 186 1886
