SSO（CAS）和Oauth2.0区别和原理

简介和区别

• SSO, single sign on,单点登录。sso多用于多个应用之间的切换，例如百度论坛、百度知道、百度云、百度文库等，在其中一个系统中登录， 切换到另一个系统的时候，不必再次输入用户名密码。
• oauth2.0，开放授权，不兼容oauth1.0.允许第三方应用代表用户获得访问权限。可以作为web应用、桌面应用和手机等设备提供专门的认证流程。例如，用qq账号登录豆瓣、美团、大众点评；用支付宝账号登录淘宝、天猫等。
• 区别：sso和oauth2.0在应用场景上的区别在于，SSO是为了解决一个用户在鉴权服务器登陆过一次以后，可以在任何应用（通常是一个厂家的各个系统）中畅通无阻。OAuth2.0解决的是通过令牌（token）而不是密码获取某个系统的操作权限（不同厂家之间的账号共享）。

SSO

传统的多应用切换，面临 cookie 跨域和session共享的问题，只要解决了上面两块问题都可以是实现SSO。
下面介绍了一种单点登录的方式CAS(中央认证服务Central Authentication Service)。
CAS介绍
2012年，Jasig和另一个有影响的组织Sakai Foundation合并，组成Apereo。Apereo是一个由高等学术教育机构发起组织的联盟，旨在为学术教育机构提供高质量软件，当然很多软件也被大量应用于商业环境，譬如CAS。目前CAS由Apereo社区维护。
CAS的官方网址是： https://www.apereo.org/projects/cas
Github地址：https://github.com/apereo/cas

主要特征：

1. CAS服务是保障各业务系统的用户资源的安全 。
2. 各个业务系统获得的信息是，这个用户能不能访问我的资源。
3. 单点登录，资源都在各个业务系统这边，不在CAS服务那一方。 用户在给CAS服务器提供了用户名密码后，作为业务系统并不知道这件事。CAS随便给业务系统一个ST，那么业务系统是不能确定这个ST是用户伪造的，还是真的有效，所以要拿着这个ST去CAS服务器再问一下，这个用户给我的ST是否有效，是有效的我才能让这个用户访问。
   

上图是CAS官网上的标准流程，具体流程如下：

1. 用户访问app系统，app系统是需要登录的，但用户现在没有登录。
2. 跳转到CAS server，即SSO登录系统，以后图中的CAS Server我们统一叫做SSO系统。SSO系统也没有登录，弹出用户登录页。
3. 用户填写用户名、密码，SSO系统进行认证后，将登录状态写入SSO的session，浏览器（Browser）中写入SSO域下的Cookie。
4. SSO系统登录完成后会生成一个ST（Service Ticket），然后跳转到app系统，同时将ST作为参数传递给app系统。
5. app系统拿到ST后，从后台向SSO发送请求，验证ST是否有效。
6. 验证通过后，app系统将登录状态写入session并设置app域下的Cookie。

至此，跨域单点登录就完成了。以后我们再访问app系统时，app就是登录的。接下来，我们再看看访问app2系统时的流程。

1. 用户访问app2系统，app2系统没有登录，跳转到SSO。
2. 由于SSO已经登录了，不需要重新登录认证。
3. SSO生成ST，浏览器跳转到app2系统，并将ST作为参数传递给app2。
4. app2拿到ST，后台访问SSO，验证ST是否有效。
5. 验证成功后，app2将登录状态写入session，并在app2域下写入Cookie。

这样，app2系统不需要走登录流程，就已经是登录了。SSO，app和app2在不同的域，它们之间的session不共享也是没问题的。

302 表示临时性重定向。访问一个Url时，被重定向到另一个url上，常用于页面跳转。

oauth2.0

OAuth2 RFC6749中文翻译：http://colobu.com/2017/04/28/oauth2-rfc6749/

OAuth 2.0授权框架支持第三方支持访问有限的HTTP服务，通过在资源所有者和HTTP服务之间进行一个批准交互来代表资源者去访问这些资源，或者通过允许第三方应用程序以自己的名义获取访问权限。

为了方便理解，可以想象OAuth2.0就是在用户资源和第三方应用之间的一个中间层，它把资源和第三方应用隔开，使得第三方应用无法直接访问资源，从而起到保护资源的作用。

为了访问这种受保护的资源，第三方应用（客户端）在访问的时候需要提供凭证。即，需要告诉OAuth2.0你是谁你要做什么。

你可以将用户名和密码告诉第三方应用，让第三方应用直接以你的名义去访问，也可以授权第三方应用去访问。

可以联想一下微信公众平台开发，在微信公众平台开发过程中当我们访问某个页面，页面可能弹出一个提示框应用需要获取我们的个人信息问是否允许，点确认其实就是授权第三方应用获取我们在微信公众平台的个人信息。这里微信网页授权就是使用的OAuth2.0。

OAuth定义了四种角色：

1. resource owner（资源所有者）
2. resource server（资源服务器）
3. client（客户端）：代表资源所有者并且经过所有者授权去访问受保护的资源的应用程序
4. authorization server（授权服务器）：在成功验证资源所有者并获得授权后向客户端发出访问令牌
   授权类型有四种：authorization code, implicit, resource owner password credentials, and client credentials

参考 https://blog.csdn.net/tclzsn7456/article/details/79550249