SSO单点登录授权系统

1、SAML 2.0 常用身份验证登录(非第三方登录)


SAML2.0 认证原理

1.1 还 未登陆 的用户 打开浏览器 访问你的网站(SP),网站 提供服务 但是并 不负责用户认证。

1.2 于是 SP 向 IDP 发送了一个 SAML 认证请求,同时 SP 将 用户浏览器 重定向到 IDP。

1.3 IDP 在验证完来自 SP 的 请求无误 之后,在浏览器中呈现 登陆表单 让用户填写 用户名 和 密码 进行登陆。

1.4 一旦用户登陆成功, IDP 会生成一个包含 用户信息(用户名 或者 密码)的 SAML token(SAML token 又称为 SAML Assertion,本质上是 XML 节点)。IDP 向 SP 返回 token,并且将 用户重定向 到 SP (token 的返回是在 重定向步骤 中实现的,下面会详细说明)。

1.5 SP 对拿到的 token 进行验证,并从中解析出 用户信息,例如 用户是谁 以及 用户的权限 有哪些。此时就能够根据这些信息允许用户访问我们网站的内容。


2、OAUTH2.0 第三方登录实现原理


oauth2.0流程图

2.1 用户通过 客户端(可以是 浏览器 也可以是 手机应用)想要访问 SP 上的资源,但是 SP 告诉用户需要进行 认证,将用户 重定向 至 IDP。

2.2 IDP 向 用户 询问 SP 是否可以访问 用户信息。如果用户同意,IDP 向 客户端 返回 authorization code。比如,用户在微信同意授权后,返回给一个携带用户信息的认证token给客户端,注意不是api访问的授权token。

2.3 客户端拿到 authorization code 向 IDP 交换 access token,并拿着 access token 向 SP 请求资源。

2.4 SP 接受到请求之后,拿着附带的 token 向 IDP 验证 用户的身份。确认身份无误后,SP 向 客户端 发放相关资源。

你可能感兴趣的:(SSO单点登录授权系统)