sso/单点认证的理解
目录
- 模拟一下SSO/单点认证的识别过程。
- 举例:
- 1. 是什么?
- 2. 为什么出现?
- 3. 怎么做?
- 4. 结果会怎样?
- 5. SSO当前的实现方式
-
- 一、基于Token的认证
- 二、基于OAuth2.0的认证
- 6. 和普通的登录注册的区别
模拟一下SSO/单点认证的识别过程。
在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统,这就是SSO/单点认证的识别过程。下面我们从用户的角度出发,模拟一下SSO/单点认证的识别过程。
- 用户访问应用系统A
用户首先访问应用系统A,如果用户没有进行登录,则会跳转到登录页面。用户输入用户名和密码,进行登录。
- 应用系统A向认证中心发送请求
应用系统A接收到用户的登录请求后,将请求发送到认证中心。请求中包含了用户的身份信息和认证状态。
- 认证中心验证用户信息
认证中心接收到应用系统A的请求后,会验证用户的身份信息和认证状态。如果用户的身份信息和认证状态都是正确的,则认证中心会生成一个Token,并将Token发送给应用系统A。
- 应用系统A保存Token
应用系统A接收到认证中心发送的Token后,会将Token保存在本地。同时,应用系统A也会将Token发送给用户的浏览器,并将Token保存到Cookie中。
- 用户访问应用系统B
用户在登录应用系统A后,可以直接访问应用系统B,而不需要再次进行登录。用户在访问应用系统B时,应用系统B会检查用户的Cookie中是否包含了Token,如果包含了Token,则应用系统B会将Token发送到认证中心进行验证。
- 认证中心验证Token
认证中心接收到应用系统B发送的Token后,会进行验证。如果Token是正确的,则认证中心会返回用户的身份信息和认证状态给应用系统B。
- 应用系统B允许用户访问
应用系统B接收到认证中心返回的用户身份信息和认证状态后,会允许用户访问应用系统B。
关键点:
- 用户登录应用系统A时,应用系统A将用户的身份信息和认证状态发送到认证中心。
- 认证中心验证用户的身份信息和认证状态,并生成一个Token发送给应用系统A。
- 应用系统A保存Token,并将Token发送给用户的浏览器,并将Token保存到Cookie中。
- 用户访问应用系统B时,应用系统B会检查用户的Cookie中是否包含了Token,并将Token发送到认证中心进行验证。
- 认证中心验证Token,并返回用户的身份信息和认证状态给应用系统B。
- 应用系统B接收到认证中心返回的用户身份信息和认证状态后,允许用户访问应用系统B。
举例:
假设用户在公司内部系统中使用SSO/单点认证,用户首先登录公司的邮件系统,然后访问公司的人力资源系统,而不需要再次进行登录。这样,用户就可以方便地访问不同的系统,而不需要记住多个用户名和密码。
SSO/单点认证是指在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。下面我们来详细讲解SSO/单点认证。
1. 是什么?
SSO/单点认证是一种身份认证机制,它可以让用户只需登录一次,就可以在多个应用系统中进行访问,而不需要再次输入用户名和密码。
2. 为什么出现?
在传统的应用系统中,每个系统都需要独立的用户认证和授权机制,这样用户就需要在每个系统中都进行登录。这种方式不仅繁琐,而且容易忘记密码。因此,SSO/单点认证出现了,它可以解决这个问题。
3. 怎么做?
实现SSO/单点认证需要以下步骤:
- 用户登录:用户在任意一个应用系统中进行登录,登录成功后,该系统会将用户的身份信息保存到共享的认证中心中。
- 认证中心:认证中心是所有应用系统共享的一个身份认证中心,它用于保存用户的身份信息和认证状态。当用户在其他应用系统中进行访问时,该系统会向认证中心发送请求,以验证用户的身份信息。
- 应用系统:应用系统需要通过认证中心来验证用户的身份信息,如果用户已经进行了登录,则可以直接访问应用系统。
4. 结果会怎样?
使用SSO/单点认证可以提高用户的访问效率,减少用户需要进行登录的次数。同时,它也可以提高系统的安全性,因为用户只需要在一个认证中心中进行登录,而不需要在每个应用系统中都进行登录。
5. SSO当前的实现方式
目前,SSO/单点认证的实现方式有很多种,比如基于Token的认证、基于OAuth2.0的认证等。其中,基于Token的认证是比较常见的一种方式,它可以通过在认证中心中生成一个Token,并将Token发送给应用系统来实现认证。
随着互联网的发展,越来越多的应用程序需要用户进行登录认证。在这种情况下,单点认证(SSO)成为了一种非常流行的解决方案。单点认证可以让用户只需一次登录,就能够访问多个应用程序。本文将详细介绍基于Token的认证和基于OAuth2.0的认证的使用流程,以及它们之间的区别。
一、基于Token的认证
- 什么是基于Token的认证?
基于Token的认证,是一种将用户身份验证信息存储在Token中的认证方式。Token是一种令牌,它包含了用户的身份验证信息,以及一些其他的元数据。Token通常是由服务器生成的,然后发送给客户端。客户端在以后的请求中,将Token发送回服务器,以便服务器能够验证客户端的身份。
- 为什么会出现基于Token的认证?
基于Token的认证出现的原因是,传统的基于Cookie的认证方式存在一些安全问题。在基于Cookie的认证方式中,服务器会在用户登录时,将一个Cookie发送给客户端。客户端在以后的请求中,会将这个Cookie发送回服务器,以便服务器能够验证客户端的身份。但是,由于Cookie是存储在客户端的,因此存在被劫持的风险。
- 基于Token的认证怎么做?
基于Token的认证的流程如下:
(1)用户向服务器发送登录请求。
(2)服务器验证用户的身份,并生成一个Token。
(3)服务器将Token发送给客户端。
(4)客户端将Token存储在本地。
(5)客户端在以后的请求中,将Token发送给服务器。
(6)服务器验证Token的有效性,并返回请求结果。
- 基于Token的认证的结果会怎样?
基于Token的认证的优点是,它可以有效地防止Cookie被劫持的风险。此外,基于Token的认证也可以降低服务器的负担,因为服务器不需要在每个请求中都进行身份验证。
- 基于Token的认证的代码注释
以下是基于Token的认证的代码注释:
// 生成Token
function generateToken(user) {
const payload = {
userId: user.id,
username: user.username,
email: user.email
};
const token = jwt.sign(payload, 'secret', { expiresIn: '1h' });
return token;
}
// 验证Token
function verifyToken(token) {
try {
const decoded = jwt.verify(token, 'secret');
return decoded;
} catch (err) {
return null;
}
}
// 登录
function login(req, res) {
const { username, password } = req.body;
// 验证用户名和密码
const user = getUserByUsernameAndPassword(username, password);
if (!user) {
return res.status(401).json({ message: 'Invalid username or password' });
}
// 生成Token
const token = generateToken(user);
res.json({ token });
}
// 需要认证的路由
function protectedRoute(req, res) {
const token = req.headers.authorization;
// 验证Token
const decoded = verifyToken(token);
if (!decoded) {
return res.status(401).json({ message: 'Invalid token' });
}
const user = getUserById(decoded.userId);
res.json({ message: `Hello, ${user.username}!` });
}
二、基于OAuth2.0的认证
- 什么是基于OAuth2.0的认证?
基于OAuth2.0的认证,是一种将用户身份验证信息存储在Token中的认证方式。OAuth2.0是一种授权协议,它允许客户端访问受保护的资源,而不需要用户提供他们的用户名和密码。OAuth2.0通常用于第三方应用程序,这些应用程序需要访问用户的受保护资源。
- 为什么会出现基于OAuth2.0的认证?
基于OAuth2.0的认证出现的原因是,传统的基于Cookie的认证方式存在一些安全问题。在基于Cookie的认证方式中,服务器会在用户登录时,将一个Cookie发送给客户端。客户端在以后的请求中,会将这个Cookie发送回服务器,以便服务器能够验证客户端的身份。但是,由于Cookie是存储在客户端的,因此存在被劫持的风险。
- 基于OAuth2.0的认证怎么做?
基于OAuth2.0的认证的流程如下:
(1)用户向客户端发送请求。
(2)客户端向授权服务器发送请求,请求授权。
(3)授权服务器验证用户的身份,并向客户端发送授权码。
(4)客户端向授权服务器发送请求,请求令牌。
(5)授权服务器向客户端发送访问令牌。
(6)客户端向资源服务器发送请求,请求受保护的资源。
(7)资源服务器验证访问令牌的有效性,并返回请求结果。
- 基于OAuth2.0的认证的结果会怎样?
基于OAuth2.0的认证的优点是,它可以有效地防止Cookie被劫持的风险。此外,基于OAuth2.0的认证也可以降低服务器的负担,因为服务器不需要在每个请求中都进行身份验证。同时,OAuth2.0还可以让用户掌控他们的数据,因为用户可以选择哪些应用程序可以访问他们的受保护资源。
- 基于OAuth2.0的认证的代码注释
以下是基于OAuth2.0的认证的代码注释:
// 请求授权
function requestAuthorization() {
const clientId = 'your-client-id';
const redirectUri = 'http://localhost:3000/callback';
const responseType = 'code';
const scope = 'read write';
const url = `https://auth.example.com/authorize?client_id=${clientId}&redirect_uri=${redirectUri}&response_type=${responseType}&scope=${scope}`;
window.location.href = url;
}
// 请求令牌
function requestToken(code) {
const clientId = 'your-client-id';
const clientSecret = 'your-client-secret';
const redirectUri = 'http://localhost:3000/callback';
const grantType = 'authorization_code';
const url = `https://auth.example.com/token`;
const data = {
code,
client_id: clientId,
client_secret: clientSecret,
redirect_uri: redirectUri,
grant_type: grantType
};
fetch(url, {
method: 'POST',
headers: {
'Content-Type': 'application/json'
},
body: JSON.stringify(data)
})
.then(response => response.json())
.then(data => {
const accessToken = data.access_token;
const tokenType = data.token_type;
const expiresIn = data.expires_in;
// 存储访问令牌
localStorage.setItem('access_token', accessToken);
localStorage.setItem('token_type', tokenType);
localStorage.setItem('expires_in', expiresIn);
});
}
// 请求受保护的资源
function requestProtectedResource() {
const accessToken = localStorage.getItem('access_token');
const tokenType = localStorage.getItem('token_type');
const url = `https://api.example.com/protected-resource`;
fetch(url, {
headers: {
Authorization: `${tokenType} ${accessToken}`
}
})
.then(response => response.json())
.then(data => {
console.log(data);
});
}
注意
基于Token的认证和基于OAuth2.0的认证都是非常流行的认证方式。基于Token的认证可以有效地防止Cookie被劫持的风险,而基于OAuth2.0的认证可以让用户掌控他们的数据。在实际应用中,我们需要根据具体的需求来选择合适的认证方式。
6. 和普通的登录注册的区别
普通的登录注册是每个应用系统都需要进行独立的用户认证和授权机制,而SSO/单点认证则是所有应用系统共享一个认证中心,用户只需要进行一次登录,就可以访问所有应用系统。因此,SSO/单点认证可以提高用户的访问效率,减少用户需要进行登录的次数。