【面试集锦】如何设计SSO方案?和OAuth有什么区别?

于 2025-02-12 22:43:34 发布
阅读量1k 收藏 25
点赞数 21
CC 4.0 BY-SA版权
分类专栏: java 文章标签: 面试 java SSO OAuth 架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/roykingw/article/details/145601348

如何设计SSO方案?和OAuth有什么区别?

--楼兰

带你聊最纯粹的Java

​ 如果面试问你,你会做一个权限系统吗?那你肯定会说做过。不就是各种登录、验证吗。我做的第一个CRUD应用就是注册、登录。简单!但是,如果问你在工作中真的做过权限系统吗?其实很多人都只能默默摇摇头。因为在很多真实项目中,权限系统可能不是最复杂的,但一定是牵连最广的。因此往往大型项目中真正去做权限系统的,都只是非常核心的一小部分人。而如果你的应用越来越复杂,作为安全门户的权限系统也会随着变得更加复杂。各种方案层出不穷。比如, 把SSO和OAuth这两个聊的最多的名词放到一起,你真的分清楚吗?

一、SSO与OAuth

​ 首先你要清楚, SSO和OAuth都是分布式场景下比较常见的权限认证方案。然后,这两个方案,在项目落地时,很多项目都会用SpringSecurity这一类的权限框架实现。所以,这两东西他们其实很像,但本质上,他们完全是两个不同的方案,解决不同的问题。

​ SSO是Single Sign-On,单点登录。主打的是统一。允许用户通过一次登录访问多个相互信任的系统,无需重复输入凭证。比如,你登录了淘宝后,访问天猫,自然也是登录的状态。而如果在淘宝退出登录后,访问天猫也同时退出登录了。

​ OAuth是Open Authorization,开放授权。主打的是开放。允许用户注册的一个账号,可以用来登录多个不同的平台。他们有很多本质的区别。比如,你可以用一个微信账号,登录很多网站。比如百度。

  • SSO关注的是统一登录。解决的是企业内部多系统之间的身份认证问题。OAuth关注的是开放授权。解决的是第三方应用如何安全获取用户资源的问题。
  • SSO强调状态共享,但是并不一定安全。所以通常SSO只是用在企业内部。比如淘宝和天猫。OAuth强调开放,同时也非常注重安全。可以在互联网共享同一套认证机制,同时保证保密信息不会泄露。比如你用微信登录百度,百度就只能拿到你的用户信息,
最低0.47元/天 解锁文章

200万优质内容无限畅学
希音(Shein)Java后台开发面试集锦参考答案
大模型大数据攻城狮的专栏
09-21 3010
如何解决超卖问题? 超卖问题是指在商品销售过程中,卖出的商品数量超过了实际库存数量。在 Java 项目中,可以通过以下几种方式来解决超卖问题: 数据库事务控制 使用数据库的事务机制可以确保在更新库存时的原子性操作。当一个事务开始时,它会锁定相关的库存记录,直到事务提交或回滚。这样可以防止多个并发的事务同时更新库存,从而避免超卖情况的发生。 例如,在使用关系型数据库如 MySQL 时,可以使用事务来控制库存更新操作。在 Java 中,可以通过 JDBC 或者使用持久化框架如 Hibernat
神秘的java
stay hungry,stay foolish!
11-02 2053
1.单元测试不再怕!一文学会SpringBoot单元测试2.一文搞懂🔥SpringBoot自动配置原理3.封装属于自己的Spring-Boot-Starter4.爽!🔥自定义SpringBoot的@EnableXXX注解1.灰度发布是什么?
Spring Cloud入门-Oauth2授权之基于JWT完成单点登录(Hoxton版本)
2401_84435700的博客
04-21 919
修改oauth2-jwt-server模块中的AuthorizationServerConfig类,将绑定的跳转路径为。启动oauth2-client服务oauth2-jwt-server服务;// 配置redirect_uri,用于授权成功后的跳转。// 配置redirect_uri,用于授权成功后的跳转。// 获取密钥需要身份认证,使用单点登录时必须配置。// 配置grant_type,表示授权类型。// 配置grant_type,表示授权类型。// 配置client_secret。
2024 高级前端面试题之 HTTP模块 「精选篇」
XH_jing的博客
02-02 1278
前端面试题之 HTTP 模块「精选篇」
Java高级开发学习大纲
田宝宝的博客
09-19 1583
作者:田超凡 原创博文,严禁复制,仅供内部使用参考,仿冒必究 技术内训时间:2021年10月8日-2022年10月8日 技术内训形式:线上+线下 技术内训时间安排:每周二、四晚上20:00-22:00 技术内训周期:一年 技术内训负责人:田超凡 技术内训主讲人:田超凡、姚半仙、张飞扬 技术内训全息图: 技术内训大纲: 阶段一:架构设计方法论与心法 第1周 软件架构设计导论 本周将带大家一起构建软件架构整体认知,内容包括:软件架构定义,软件架构影响力,软件架构风......
2021在职技术提升规划-1 Java架构II
田宝宝的博客
01-08 634
2021在职技术提升规划-1 Java架构II ...
这些年掘金上的优质前端文章,篇篇经典,一次打包带走!
大灰狼的小绵羊哥哥的博客
08-16 7857
前言:近日发现掘金上有所有的热门文章的排行榜,但是仅仅只是排行,不利于收藏查阅。于是乎我就把热门文章全部爬下来了(站长看到别打我啊
java日常学习
strive
12-28 4473
https http
SSO 单点登录 OAuth2.0 有何区别
qq_43842093的博客
04-07 1350
此方法的缺点是它依赖于浏览器会话状态,对于分布式或者微服务系统而言,可能需要在服务端做会话共享,但是服务端会话共享效率比较低,这不是一个好的方案。在单点登录的上下文中,OAuth 可以用作一个中介,用户在一个“授权服务器”上登录,并获得一个访问令牌,该令牌可以用于访问其他“资源服务器”上的资源。首先,SSO 主要关注用户在多个应用程序服务之间的无缝切换保持登录状态的问题。这种方法通过将登录认证业务系统分离,使用独立的登录中心,实现了在登录中心登录后,所有相关的业务系统都能免登录访问资源。
SSO是什么?CAS是什么?
01-20
SSO,全称为Single Sign-On,中文译为“单点登录”,是一种网络用户身份验证的机制。在SSO系统中,用户只...对于大型企业或机构来说,采用SSOCAS这样的解决方案,既能保证用户便利性,也能强化整体的信息安全架构
基于SpringBootOAuth2的SSO单点登录与权限认证设计源码
10-01
该源码项目为基于SpringBoot框架OAuth2协议的SSO单点登录与权限认证解决方案,采用Java语言开发,并集成了JavaScript、CSS、HTML等多种前端技术。项目结构包含667个文件,其中涉及164个less文件、164个js文件、126...
关于程序员中年危机的一个真实案例
热门推荐
roykingw的专栏
02-26 1万+
​ 关于中年危机,网上已经有了各种各样的解读。但是,这两天一个学员跟我简单几句聊天,却触发了对于中年危机的另一种思考。如果你曾经也有点迷茫,或许你可以稍微花几分钟看下这个故事。
程序员短视频上瘾综合症
roykingw的专栏
08-05 9584
程序员短视频上瘾综合症
kafka如何保证消息不丢失?半分钟的答案半个小时的答案有点不一样
roykingw的专栏
08-30 8594
​ 关于Kafka保证消息不丢失的问题,就简单总结到这里,但这其实并不是结束。相反,随着你对Kafka理解得越深,你会发现这个问题会有更多的发散空间。像MQ如何保证消息不丢失?如何不重复消费?如何处理消息积压?等等,这都是一系列非常开放的面试题。对于你是否真正理解了每个MQ产品,是非常好的检验标准。所以,这么好的题目,如果只是简简单单背个八股文,那太可惜了。...
SpringCloudStream实战拆解以及3.1后新版本特性分析
roykingw的专栏
06-13 3960
一套框架,带你对接所有的MQ产品。
ShardingSphere分库分表6-5.x新版本特性
roykingw的专栏
04-11 3827
文章目录一、整体理解新版本二、5.X部分新特性1、DistSQL2、可插拔内核3、数据迁移三、全部内容总结 一、整体理解新版本 ​ ShardingSphere在2021年十月份推出了5.0的第一个发布版本,并在2022年一月份推出了5.1版本。从整体来看,ShardingSphere5.x将自己的功能定位从数据库中间件升级到了DataBase Plus,数据库功能增强。核心产品定位的变化,必然会带来非常多的改变。不过从功能方面来看,目前5.X版本还只是做了一些功能增强,但是核心功能并没有太大的变动。很多规
RocketMQ 5.x新版本部署优化一览
roykingw的专栏
02-24 3687
RocketMQ 5.x版本快速上手
MyCat2测试实战 -- 王者归来的故事
roykingw的专栏
06-22 3547
​ 关于MyCat,不用做过多介绍,曾经大名鼎鼎的分库分表中间件。诞生于2013年,从MyCat1.6版本之后,陷入了一段时间的沉寂。从2021年11月低开始,重新推出新版本的MyCat2,官网地址:http://www.mycat.org.cn/ 。​ 重要特性一目了然,独立,是他最大的标签。然后在他的Git仓库中,对产品有一个简单的介绍: ​ 立足于Sharding分库分表。简单、快速是MyCat2对自己最直白的声明。他的定位其实是代表了一整套基于MySQL的分布式数据处理系统,可以让MySQL拥有堪比
CAS协议与OAuth2.0在SSO实现上有何本质区别
最新发布
06-20
<think>我们正在讨论CAS协议与OAuth2.0在实现单点登录(SSO)上的本质区别。根据引用资料,我们可以总结如下:1.**目标定位不同**:-**CAS协议**:专注于解决单点登录(SSO)问题,是一个专门的身份认证协议。它仅处理用户身份的认证,确保用户一次登录即可访问多个应用系统[^4]。-**OAuth2.0**:本质上是一个授权框架,解决的是第三方应用在用户授权下访问资源服务器资源的问题。它并不直接处理用户身份认证,但可以通过扩展(如OpenIDConnect)来实现单点登录[^3]。2.**协议流程差异**:-**CAS流程**(基于票据):1.用户访问应用(Service,即CASClient)。2.应用重定向用户到CASServer进行认证。3.用户登录后,CASServer生成服务票据(ServiceTicket,ST)并重定向回应用。4.应用使用ST向CASServer验证,验证通过后建立本地会话[^4]。流程图如下:$$\text{用户}\rightarrow\text{应用}\rightarrow\text{CASServer}\rightarrow\text{验证ST}\rightarrow\text{建立会话}$$-**OAuth2.0流程**(基于令牌):1.用户访问客户端应用。2.客户端将用户重定向到授权服务器(AuthorizationServer)。3.用户授权后,授权服务器返回授权码(AuthorizationCode)给客户端。4.客户端使用授权码换取访问令牌(AccessToken)。5.客户端使用访问令牌访问资源服务器(ResourceServer)[^1]。流程图如下:$$\text{用户}\rightarrow\text{客户端}\rightarrow\text{授权服务器}\rightarrow\text{换取令牌}\rightarrow\text{访问资源}$$3.**安全模型区别**:-CAS的安全性依赖于HTTPS传输票据的一次性使用,确保ST不会被重复使用[^4]。-OAuth2.0通过访问令牌(AccessToken)刷新令牌(RefreshToken)机制,并支持多种授权方式(如授权码模式、隐式模式等)来适应不同场景的安全需求[^1][^3]。4.**适用场景**:-CAS适用于企业内部系统,尤其是需要统一认证且不涉及第三方授权的场景[^4]。-OAuth2.0更适用于开放平台或需要第三方应用接入的场景(如使用微信、QQ登录其他网站)[^2][^3]。5.**扩展性**:-CAS协议本身较为简单,扩展能力有限。-OAuth2.0具有较好的扩展性,例如通过OpenIDConnect(OIDC)在OAuth2.0基础上添加了身份认证层,从而支持SSO[^3]。###核心差异总结表|**维度**|**CAS协议**|**OAuth2.0**||----------------|-----------------------------|-----------------------------||**核心目标**|解决单点登录(认证)|解决资源授权(授权)||**令牌类型**|服务票据(ST)|访问令牌(AccessToken)||**流程复杂度**|简单直接|相对复杂(支持多种授权模式)||**适用场景**|企业内部系统|开放平台/第三方授权||**扩展能力**|有限|强(如通过OIDC支持认证)|###实现原理代码对比####CAS客户端验证ST的伪代码```java//CASClient验证STpublicbooleanvalidateServiceTicket(StringserviceTicket){StringcasUrl="https://cas-server/validate?ticket="+serviceTicket+"&service="+service;HttpResponseresponse=httpClient.get(casUrl);returnresponse.getBody().contains("yes");//CAS协议返回"yes\nusername"}```####OAuth2.0授权码模式获取令牌的伪代码```java//OAuth2.0使用授权码换取令牌publicTokenResponseexchangeCodeForToken(Stringcode){OAuth2Clientclient=newOAuth2Client(clientId,clientSecret);TokenRequestrequest=newTokenRequest(grantType="authorization_code",code,redirectUri);returnclient.execute(request);//返回访问令牌刷新令牌}```###结论-如果需求是**封闭系统的统一登录认证**,选择**CAS**更简单直接。-如果需求涉及**开放平台或第三方授权**,则**OAuth2.0(特别是OIDC)**是更合适的选择[^2][^3]。§§相关问题§§1.如何将CAS协议与OAuth2.0结合使用以满足复杂场景?2.OpenIDConnect(OIDC)在OAuth2.0基础上添加了哪些认证特性?3.CAS协议中服务票据(ST)的安全性如何保证?4.在微服务架构中,如何选择CAS或OAuth2.0实现SSO?</think>### CAS协议 vs OAuth2.0 在 SSO 实现中的核心差异 #### 1. 本质定位差异 | 维度 | CAS协议 | OAuth2.0 | |--------------|----------------------------------|------------------------------| | **核心目标** | 专注**身份认证** | 专注**授权委托** | | **协议性质** | 专用认证协议 | 通用授权框架 | | **主要场景** | 企业内部系统统一登录 | 第三方应用资源访问授权 | | **标准化** | 轻量级专有协议 | IETF标准协议(RFC 6749) | #### 2. 技术实现原理对比 **CAS协议流程** (基于票据交换): ```mermaid sequenceDiagram participant 用户 participant 应用A participant CAS服务器 用户->>应用A: 访问受保护资源 应用A->>用户: 重定向到CAS登录页 用户->>CAS服务器: 提交凭证 CAS服务器->>用户: 颁发服务票据(ST) 用户->>应用A: 携带ST访问 应用A->>CAS服务器: 验证ST有效性 CAS服务器->>应用A: 返回认证结果 应用A->>用户: 授予访问权限 ``` **OAuth2.0流程** (基于令牌授权): ```mermaid sequenceDiagram participant 用户 participant 客户端应用 participant 授权服务器 participant 资源服务器 用户->>客户端应用: 发起访问请求 客户端应用->>用户: 重定向到授权服务器 用户->>授权服务器: 登录并授权 授权服务器->>用户: 返回授权码 用户->>客户端应用: 携带授权码 客户端应用->>授权服务器: 用授权码换令牌 授权服务器->>客户端应用: 颁发访问令牌 客户端应用->>资源服务器: 用令牌访问资源 资源服务器->>客户端应用: 返回受保护数据 ``` #### 3. 核心组件差异 | **组件** | **CAS协议** | **OAuth2.0** | |----------------|-----------------------------|----------------------------| | 身份凭证 | 服务票据(ST) | 访问令牌(Access Token) | | 验证机制 | 服务端票据校验 | 令牌签名验证(JWT) | | 会话管理 | 中央会话存储 | 无状态令牌 | | 典型传输方式 | HTTP重定向 | API调用 | #### 4. 关键区别详解 1. **信任模型** - CAS:建立**中心化信任**,所有应用信任CAS服务器 $$ \text{Trust} = \text{App}_1 \oplus \text{App}_2 \oplus \cdots \oplus \text{CAS} $$ - OAuth2.0:实现**分布式信任**,资源服务器独立验证令牌 $$ \text{Trust} = \text{RS}_1 \otimes \text{RS}_2 \otimes \cdots \otimes \text{AS} $$ 2. **安全边界** - CAS适用于**封闭系统**(企业内网) - OAuth2.0设计用于**开放系统**(互联网应用) 3. **协议扩展性** - CAS需定制扩展新功能(如MFA) - OAuth2.0天然支持OpenID Connect实现认证 4. **令牌生命周期** ```java // CAS服务票据(短时效) ServiceTicket st = new ServiceTicket(user, 30); // 30秒有效期 // OAuth2访问令牌(长时效) AccessToken token = new AccessToken(user, 3600); // 1小时有效期 ``` #### 5. 适用场景建议 - **选择CAS当**: ✅ 企业内网系统整合 ✅ 需要严格会话控制 ✅ 简单认证需求 - **选择OAuth2.0当**: ✅ 第三方应用集成 ✅ 移动/API优先架构 ✅ 需要细粒度授权 #### 6. 混合架构示例 ```java // CAS-OAuth2混合认证控制器 @RestController public class AuthController { @GetMapping("/sso/login") public ResponseEntity<Object> ssoLogin( @RequestParam String service, HttpServletRequest req) { // CAS风格认证 if (isInternalService(service)) { String st = casService.generateTicket(req.getRemoteUser()); return ResponseEntity.ok(Collections.singletonMap("ticket", st)); } // OAuth2风格认证 else { String authCode = oauthService.issueAuthorizationCode(req.getRemoteUser()); return ResponseEntity.status(302) .header("Location", service + "?code=" + authCode) .build(); } } private boolean isInternalService(String url) { return url.contains(".internal.com"); } } ``` ### 总结对比矩阵 | **特性** | **CAS** | **OAuth2.0** | **最优场景** | |------------------|---------------|-----------------|---------------------| | 协议复杂度 | ★★☆ | ★★★★ | 简单认证 vs 复杂授权 | | 跨域支持 | 有限 | 原生支持 | 互联网应用 | | 移动端适配 | 困难 | 优秀 | 移动应用 | | 标准化程度 | 专有 | RFC标准 | 开放生态系统 | | 实施成本 | 低 | 中高 | 企业内网 vs SaaS | > 关键结论:CAS是"垂直型"认证方案OAuth2是"水平型"授权框架。现代SSO常采用**OAuth2.0+OpenID Connect**组合方案[^3],因其兼具认证能力标准化优势[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

roykingw

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值