SingleSignOn单点登录常见协议以及认证交换方式

最新推荐文章于 2025-10-09 15:12:08 发布
原创 最新推荐文章于 2025-10-09 15:12:08 发布 · 1.9w 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #开源软件 #笔记

本文介绍了单点登录(SSO)相关的多种协议,如OAuth 2.0、OpenID Connect、JWT、SAML、Kerberos、CAS、LDAP,阐述了各协议的用户登录流程、客户端/服务端交互等内容,还介绍了Keycloak身份和访问管理开源解决方案,其功能丰富、易于集成和部署。

在这里插入图片描述

文章目录

SSO英文全称Single SignOn,即单点登录。SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。它可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制。是目前比较流行的企业业务整合的解决方案之一。

OAuth 2.0

OAuth 2.0 是一个开放标准的授权协议,主要用于授权第三方应用程序访问受保护的资源,而不需要用户提供其权限(例如用户名和密码)。尤其在单点登录(SSO)和身份验证方面,OAuth 2.0 在一定的编程中支持这些功能,尽管它不是专门设计的。

以下是OAuth 2.0协议的关键概念和特点:

  1. 授权流程
    • 资源所有者:拥有受保护资源的用户。
    • 客户端:希望访问第三方应用程序的资源。
    • 授权服务器:负责认证用户并颁发访问令牌(Access Token)的服务器。
    • 资源服务器:存储受保护的资源并根据访问令牌提供对这些资源的访问。
  2. 角色
    • 授权服务器:负责验证资源所有者的身份,并根据资源所有者的同意授予访问令牌给客户端。
    • 资源服务器:存储受保护的资源,并根据访问令牌验证客户端对资源的访问权限。
  3. 授权类型
    • 授权码授权(Authorization Code Grant):用于Web应用程序,通过授权码交换访问令牌。
    • 隐式授权(Implicit Grant):适用于浏览器或移动应用,直接从授权端点获取访问令牌。
    • 密码授权(Resource Owner Password Credentials Grant):资源所有者提供用户名和密码直接交换访问令牌。
    • 客户端授权授权(Client Credentials Grant):适用于机器对机器通信,客户端通过自身凭证获取访问令牌。
  4. 单点登录(SSO)和身份验证
    • OAuth 2.0并不是专门为单点登录设计的,但它提供了一些机制,使得可以在多个系统间进行认证并赋予更灵活的功能。
    • 通过 OAuth 2.0,用户可以通过授权服务器一次性登录,并在授权内部使用访问令牌访问多个资源。
  5. 安全性
    • OAuth 2.0 使用令牌化的方式,访问令牌代表用户的访问权限,并不是直接暴露用户的权限(例如用户名和密码)。
    • 有效管理和保护令牌是保证安全性的关键,包括令牌的时效性、访问范围、加密方式等。

用户登录流程

  1. 用户尝试访问客户端应用,但尚未认证。
  2. 客户端检测到用户未经认证,发起重定向至认证服务器请求认证。
  3. 用户被重定向至认证服务器,在此进行身份验证,并被询问授权请求。
  4. 用户授权成功后,认证服务器发回授权码至客户端。
  5. 客户端使用授权码交换访问令牌(Access Token)和刷新令牌(Refresh Token)。
  6. 客户端使用 Access Token 请求资源服务器获取用户资源。
  7. 资源服务器验证 Access Token,若合法则提供用户资源。

客户端/服务端交互

  • 客户端: 负责重定向到认证服务器,并获取访问令牌用于访问资源服务器。
  • 服务端: 包括认证服务器和资源服务器,认证服务器负责验证用户身份并颁发令牌,资源服务器验证令牌并提供资源。

虽然OAuth 2.0在一定程度上支持单点登录和验证,但它更关注授权身份和资源访问,而不是认证。为了实现更完整的单点登录体验,通常需要与其他身份验证协议(例如OpenID)连接)结合使用。

总的来说,OAuth 2.0是一种灵活的授权协议,适用于很多场景下的授权访问需求,但在考虑实现单点登录或完整的身份验证系统时,可能需要结合其他协议和技术来实现更多全面的解决方案。

OpenID Connect

OpenID Connect简称为OIDC,是一个以用户为中心的数字身份识别框架,是第三代OpenID技术,扩展了 OAuth 2.0 授权协议,在OAuth2.0上构建了身份层,使其可用作身份验证协议。 OIDC 通过一个称作“ID 令牌”的安全令牌在支持 OAuth 的应用程序之间启用单点登录 (SSO)。OpenID是一个去中心化的网上身份认证系统。对于支持OpenID的网站,用户不需要记住像用户名和密码这样的传统验证标记。取而代之的是,他们只需要预先在一个作为OpenID身份提供者(identity provider, IdP)的网站上注册。OpenID是去中心化的,任何网站都可以使用OpenID来作为用户登录的一种方式,任何网站也都可以作为OpenID身份提供者。OpenID既解决了问题而又不需要依赖于中心性的网站来确认数字身份。

OAuth2实际上只做了授权,而OpenID Connect在授权的基础上又加上了认证。

OIDC的优点是:简单的基于JSON的身份令牌(JWT),并且完全兼容OAuth2协议。

OpenID(认证)+OAuth 2.0(授权)=OpenID Connect(认证+授权)。

使用标准的JWT令牌,REST/JSON消息流,允许开发人员跨网站和应用程序验证其用户,而无需拥有和管理密码。OpenID Connect的设计支持web程序、本地应用程序和移动应用程序。

用户登录流程

  1. 用户请求访问客户端。
  2. 客户端重定向至认证服务器。
  3. 用户在认证服务器上进行身份验证和授权。
  4. 认证服务器发放 ID 令牌至客户端。
  5. 客户端使用 ID 令牌验证用户身份,并获取用户信息。

客户端/服务端/认证中心交互

  • 客户端: 发起登录请求并验证 ID 令牌。
最低0.47元/天 解锁文章
SSO统一身份认证——SSO都有哪些常用的协议
CN華少的博客
07-18 3394
SSO统一身份认证——SSO都有哪些常用的协议 单点登录(SingleSignOn,SSO),就是通过用户的一次性鉴别登录。当用户在身份认证服务器上登录一次以后,即可获得访问单点登录系统中其他关联系统和应用软件的权限,同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的,这意味着在多个应用系统中,用户只需一次登录就可以访问所有相互信任的应用系统。这种方式减少了由登录产生的时间消耗,辅助了...
单点登录常用协议原理和流程
小安安
09-12 2529
单点登录常用协议原理和流程
网站单点登录(SSO)与身份认证全流程指南
最新发布
2501_93174763的博客
10-09 361
随着企业和互联网应用系统增多,用户频繁登录多个系统成为常态。**单点登录(SSO)**通过统一认证机制,实现一次登录,多系统访问,提高用户体验和安全性。本文将系统讲解SSO原理、身份认证流程、技术方案及安全实践。
一文讲透单点登录架构思想(SSO)
代码大师麦克拉瑞的博客
01-19 5811
单点登录(SingleSignOn,SSO),就是通过用户的一次性鉴别登录。当用户在身份认证服务器上登录一次以后,即可获得访问单点登录系统中其他关联系统和应用软件的权限,同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的,这意味着在多个应用系统中,用户只需一次登录就可以访问所有相互信任的应用系统。这种方式减少了由登录产生的时间消耗,辅助了用户管理,是比较流行的。摘自百度百科。
单点登录必知的两个著名协议:SAML、OAuth2
09-29 1866
在本文中,我们将了解单点登录 (SSO) 和 SSO 广泛使用的两种协议,即 SAML 和OAuth2。这是任何程序员都需要理解的复杂领域之一。什么是单点登录单点登录 (SSO) 是用户可以使用一组凭据登录多个应用程序的过程。考虑到如今网站的数量以及其中大多数都要求进行身份验证,这是一个方便且高效的功能。我们都知道,我们无法为每个应用程序跟踪如此多的凭据集。SSO 来救援了!!!用户无需一遍又一...
单点登录协议
qq_42029265的博客
05-21 1059
统一认证授权平台架构 统一认证业务--CAS和OAuth2协议讲解
实现单点登录到底该选哪种 SSO 协议
路多辛的所思所想
01-18 1334
SSO(Single Sign-On, 单点登录)是一种身份验证机制,用户通过一次登录即可访问多个相关但独立的软件系统,而无需再次输入用户名和密码。不同的 SSO 协议有不同的工作原理和应用场景。本文介绍的 SSO 协议之前都写过专门的文章进行了详细讲解,本文主要是做对比讲解,不会讲解细节,想了解细节的同学可以到我的文章目录里去查找到对应文章进行阅读。
开源UIfirst身份与访问管理IAM SingleSignOn单点登录平台,web UI支持OAuth 20 OID.zip
05-25
开源UIfirst身份与访问管理(IAM)SingleSignOn(SSO)单点登录平台是一款用于组织内部或外部用户身份验证和授权的解决方案。这个平台的关键特性是它支持OAuth 2.0和OpenID Connect(OIDC)协议,这两种协议在现代...
单点登录SingleSignOn-SSO)完整案例
09-15
单点登录(Single Sign-On,简称SSO)是一种身份验证机制,允许用户在一次登录后访问多个相互关联的应用系统,而无需再次输入凭证。这种技术极大地提升了用户体验,减少了登录过程中的繁琐步骤,同时也能增强安全性...
浅谈谁都能看懂的单点登录(SSO)实现方式(附源码)
10-20
单点登录(Single Sign-On,简称SSO)是现代企业业务整合中的一种流行解决方案,它允许用户在多个相互信任的应用系统中只需要登录一次即可访问所有系统,大大提高了用户体验和企业内部效率。SSO英文全称SingleSignOn...
ASP.NET Form认证实现与单点登录SingleSignOn)探索
"ASP.NET安全认证,包括Form认证的实现与实战应用,以及单点登录(SingleSignOn)的实现" ASP.NET安全认证是确保应用程序安全的重要组成部分,它提供了多种验证模式来保护用户数据和应用程序资源。本文主要关注Form...
单点登陆(SSO)协议简介:OpenID、OAuth2、SAML
热门推荐
Flosing的博客
03-19 1万+
  主要用于第三方应用登录,例如使用QQ或微信登录其他的应用或网站等。目的在于限制用户身份,有效的身份才能浏览相关的内容。这就是认证和授权!! 1 OpenID   它是一种认证标准,用户要使用OpenID就必须在OpenID身份服务器(Identity Provider, IDP)上注册OpenID账号,例如OpenID账号为谷歌账号或QQ账号,可以使用它们登录其他的应用(the relying...
单点登录技术:微软Passport单点登录协议和自由联盟规范
iteye_20005的博客
06-01 932
原文地址:http://www.poluoluo.com/jzxy/201109/142060.html 随着互联网络应用的普及,越来越多的人开始使用互联网上提供的服务。然而目前提供服务的网站大多采用用户名、口令的方式来识别用户身份,这使得用户需要经常性的输入自己的用户名、口令。显然这种认证方式存在着弊端:随着用户网络身份的增多,用户相应的需要记忆多组用户名、口令,这给用户造成记忆上的负担...
单点登录的三种实现方式
码农code之路
01-29 958
作者:张永恒cnblogs.com/yonghengzh/p/13712729.html前言在 B/S 系统中,登录功能通常都是基于 Cookie 来实现的。当用户登录成功后,一般会将登...
基于CAS协议单点登录(SSO)
刘越洋子
01-17 1501
基于CAS协议单点登录(SSO) 1.单点登录 单点登陆(SSO,Single Sign On)简单地说,单点登陆允许多个应用使用同一个登陆服务。一旦一个用户登陆了一个支持单点登陆的应用,那么在进入其它使用同一单点登陆服务的应用时就不再需要重新登陆了。 例如:当用户登录京东商城以后在进入京东秒杀系统,京东金融系统就不需要在重新登录了。这就是单点登录单点登录的实现方式有基于cookie实现
单点登录CAS协议详解
Bellboy的博客
01-25 1504
CAS(CentralAuthentication Service) 是 Yale 大学发起的一个开源项目,据统计,大概每 10 个采用开源构建 Web SSO 的 Java 项目,就有 8 个使用 CAS 。对这些统计,我虽然不以为然,但有一点可以肯定的是, CAS 是我认为最简单实效,而且足够安全的 SSO 选择。本文主要分析 CAS 的安全性,以及为什么 CAS 被这样设计,带着少许密码学的基础知识,我希望有助于读者对 CAS 的协议有更深层次的理解。
SSO单点登陆
qq_41765182的博客
07-16 1678
SSO单点登录系统总结
单点登录实现之基于OAuth2.0协议
CharlesYan的博客
03-07 3307
基于OAuth2.0协议实现单点登录
单点登录系统原理与实现
m0_37911384的博客
10-17 575
一、单系统登录机制 1、http无状态协议 web应用采用browser/server架构,http作为通信协议。http是无状态协议,浏览器的每一次请求,服务器会独立处理,不与之前或之后的请求产生关联,这个过程用下图说明,三次请求/响应对之间没有任何联系。 但这也同时意味着,任何用户都能通过浏览器访问服务器资源,如果想保护服务器的某些资源,必须限制浏览器请求;要限制浏览器请求,必须鉴别浏览器请...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

霁晨晨晨

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值