SSO 单点登录和 OAuth2.0 的区别和理解

概述

SSO是Single Sign On的缩写，OAuth是Open Authority的缩写，那两者都是利用令牌的体例来取代用户密码拜候应用。流程上来说他们十分类似，但概念上又非常差别。SSO各人应该比力熟悉，它将登录认证和营业系统别离，利用独立的登录中心，实现了在登录中心登录后，所有相关的营业系统都能免登录拜候资本。

OAuth2.0原理可能比力生僻，但日常平凡用的却良多，好比拜候某网站想留言又不想注册时利用了微信受权。以上两者，你在营业系统中都没有账号和密码，账号密码是存放在登录中心或微信办事器中的，那就是所谓的利用令牌取代账号密码拜候应用。

SSO

两者有良多类似之处，下面我们来阐明一下那个过程。先来讲解SSO，通过SSO比照OAuth2.0，才比力好理解OAuth2.0的原理。SSO的实现有良多框架，好比CAS框架，以下是CAS框架的官方流程图。出格留意：SSO是一种思惟，而CAS只是实现那种思惟的一种框架罢了

上面的流程可能为：

用户输入网址进入营业系统Protected App，系统发现用户未登录，将用户重定向到单点登录系统CAS Server，并带上本身地址service参数

用户阅读重视定向到单点登录系统，系统查抄该用户能否登录，那是SSO(那里是CAS)系统的第一个接口，该接口若是用户未登录，则将用户重定向到登录界面，若是已登录，则设置全局session，并重定向到营业系统

用户填写密码后提交登录，留意此时的登录界面是SSO系统供给的，只要SSO系统保留了用户的密码，

SSO系统验证密码能否准确，若准确则重定向到营业系统，并带上SSO系统的签发的ticket

阅读重视定向到营业系统的登录接口，那个登录接口是不需要密码的，而是带上SSO的ticket，营业系统拿着ticket恳求SSO系统，获取用户信息。并设置部分session，表达登录胜利返回给阅读器sessionId(tomcat中叫JSESSIONID)

之后所有的交互用sessionId与营业系统交互即可

最常见的例子是，我们翻开淘宝APP，首页就会有天猫、聚划算等办事的链接，当你点击以后就间接跳过去了，并没有让你再登录一次

展开全文

OAuth2.0

OAuth2.0有多种形式，那里讲的是OAuth2.0受权码形式，OAuth2.0的流程跟SSO差不多，在OAuth2中，有受权办事器、资本办事器、客户端如许几个角色，当我们用它来实现SSO的时候是不需要资本办事器那个角色的，有受权办事器和客户端就够了。受权办事器当然是用来做认证的，客户端就是各个应用系统，我们只需要登录胜利后拿到用户信息以及用户所拥有的权限即可

用户在某网站上点击利用微信受权，那里的某网站就类似营业系统，微信受权办事器就类似单点登录系统

之后微信受权办事器返回一个确认受权页面，类似登录界面，那个页面当然是微信的而不是营业系统的

用户确认受权，类似填写了账号和密码，提交后微信鉴权并返回一个ticket，并重定向营业系统。

营业系统带上ticket拜候微信办事器，微信办事器返回正式的token，营业系统就能够利用token获取用户信息了

简介一下OAuth2.0的四种形式：

受权码（authorization-code）

受权码（authorization code）体例，指的是第三方应用先申请一个受权码，然后再用该码获取令牌。那种体例是最常用的流程，平安性也更高，它适用于那些有后端的 Web 应用。受权码通过前端传送，令牌则是贮存在后端，并且所有与资本办事器的通信都在后端完成。如许的前后端别离，能够制止令牌泄露。

隐藏式（implicit）

有些 Web 应用是纯前端应用，没有后端。那时就不克不及用上面的体例了，必需将令牌贮存在前端。RFC 6749 就规定了第二种体例，允许间接向前端颁布令牌。那种体例没有受权码那个中间步调，所以称为（受权码）“隐藏式”（implicit）

密码式（password）

若是你高度信赖某个应用，RFC 6749 也允许用户把用户名和密码，间接告诉该应用。该应用就利用你的密码，申请令牌，那种体例称为"密码式"（password）。

客户端凭证（client credentials）

最初一种体例是凭证式（client credentials），适用于没有前端的号令行应用，即在号令行下恳求令牌。

简单流程

详细的OAuth2.0讲解

说一下几个名词的区别（ Spring Security 、Shiro、OAuth2、JWT、SSO）

起首，SSO是一种思惟，或者说是一种处理计划，是笼统的，我们要做的就是根据它的那种思惟去实现它

其次，OAuth2是用来允许用户受权第三方应用拜候他在另一个办事器上的资本的一种协议，它不是用来做单点登录的，但我们能够操纵它来实现单点登录。在本例实现SSO的过程中，受庇护的资本就是用户的信息（包罗，用户的根本信息，以及用户所具有的权限），而我们想要拜候那那一资本就需要用户登录并受权，OAuth2办事端负责令牌的发放等操做，那令牌的生成我们接纳JWT，也就是说JWT是用来承载用户的Access_Token的

最初，Spring Security、Shiro是用于平安拜候的，用来做拜候权限掌握，都是一个用Java写的框架

ximeneschen