001什么是單點(diǎn)登錄��?
單點(diǎn)登錄(Single Sign On)��,簡稱為 SSO����,是目前比較流行的企業(yè)業(yè)務(wù)整合的解決方案 之一����。SSO 的定義是在多個(gè)應(yīng)用系統(tǒng)中,用戶只需要登錄一次就可以訪問所有相互信任的應(yīng)用系統(tǒng)�。
002單點(diǎn)登錄系統(tǒng)�����,如果cookie禁用,你們怎么解決?
如果禁用cookie可以使用url中帶參數(shù)����,把token傳遞給服務(wù)端。當(dāng)然此方法涉及安全性問題,其實(shí)在cookie中保存token同樣存在安全性問題����。推薦使用sso框架CAS實(shí)現(xiàn)單點(diǎn)登錄�。
003SSO原理(單點(diǎn)登錄的過程)
以登錄天貓為例進(jìn)行說明:
1)當(dāng)?戶第?次訪問淘寶的時(shí)候����,因?yàn)檫€沒有登錄,會(huì)被引導(dǎo)到認(rèn)證中?進(jìn)?登錄。
2)根據(jù)?戶提供的登錄信息�����,認(rèn)證系統(tǒng)進(jìn)?身份驗(yàn)證����,如果通過,則登錄成功���,并返回給?戶?個(gè)認(rèn)證的憑據(jù)(JWT token)。
3)當(dāng)?戶訪問天貓時(shí),就會(huì)將這個(gè) JWT token 帶上���,作為??認(rèn)證的憑據(jù)��。
4)應(yīng)?系統(tǒng)接收到請求后會(huì)把 JWT token 送到認(rèn)證中?進(jìn)?校驗(yàn)。
5)如果通過校驗(yàn)�,?戶就可以在不?再次登錄的情況下訪問天貓了��。
004SSO如何實(shí)現(xiàn)?
1)代理登錄(agent):用于無法改造的舊系統(tǒng)��;
2)令牌環(huán)(token):通過Cookie共享令牌環(huán)的方式傳遞當(dāng)前用戶信息�,實(shí)現(xiàn)SSO,存在跨域問題�����;
3)身份票據(jù)(ticket):除了增加一臺信任驗(yàn)證服務(wù)器�����,完全滿足了存儲信任,驗(yàn)證信任,作用范圍和安全性的問題�����,也是適用最廣的webSSO實(shí)現(xiàn)方式
005什么是CAS?
CAS框架:CAS(Central Authentication Service���,即:統(tǒng)一認(rèn)證服務(wù))是實(shí)現(xiàn)SSO單點(diǎn)登錄的框架。CAS分為兩部分���,CAS Server和CAS Client。
CAS Server用來負(fù)責(zé)用戶的認(rèn)證工作,就像是把第一次登錄用戶的一個(gè)標(biāo)識存在這里�,以便此用戶在其他系統(tǒng)登錄時(shí)驗(yàn)證其需不需要再次登錄��。
CAS Client就是我們自己開發(fā)的應(yīng)用程序,需要接入CAS Server端。當(dāng)用戶訪問我們的應(yīng)用時(shí),首先需要重定向到CAS Server端進(jìn)行驗(yàn)證����,要是原來登陸過����,就免去登錄��,重定向到下游系統(tǒng)�����,否則進(jìn)行用戶名密碼登陸操作。
006CAS中3個(gè)術(shù)語?
Ticket Granting ticket (TGT) :可以認(rèn)為是CAS Server根據(jù)用戶名密碼生成的一張票,存在Server端
Ticket-granting cookie (TGC) :其實(shí)就是一個(gè)Cookie���,存放用戶身份信息,由Server發(fā)給Client端
Service ticket (ST) :由TGT生成的一次性票據(jù),用于驗(yàn)證�,只能用一次��。相當(dāng)于Server發(fā)給Client一張票,然后Client拿著這個(gè)票再來找Server驗(yàn)證���,看看是不是Server簽發(fā)的����。
007CAS處理流程?
1)用戶訪問網(wǎng)站,第一次來��,重定向到 CAS Server�����,發(fā)現(xiàn)沒有cookie��,所以再重定向到CAS Server端的登錄頁面,并且URL帶有網(wǎng)站地址�,便于認(rèn)證成功后跳轉(zhuǎn)�,形如 http ?/cas-server:8100/login?service=http ?/localhost:8081
注意:service后面這個(gè)地址就是登錄成功后要重定向的下游系統(tǒng)URL��。
2)在登陸頁面輸入用戶名密碼認(rèn)證����,認(rèn)證成功后cas-server生成TGT��,再用TGT生成一個(gè)ST���。 然后再第三次重定向并返回ST和cookie(TGC)到瀏覽器
3)瀏覽器帶著ST再訪問想要訪問的地址:
http ?/localhost:8081/?ticket=ST-25939-sqbDVZcuSvrvBC6MQlg5
注意:ticket后面那一串就是ST
4)瀏覽器的服務(wù)器收到ST后再去cas-server驗(yàn)證一下是否為自己簽發(fā)的����,驗(yàn)證通過后就會(huì)顯示頁面信息,也就是重定向到第1步service后面的那個(gè)URL
首次登陸完畢����。
5)再登陸另一個(gè)接入CAS的網(wǎng)站���,重定向到CAS Server,server判斷是第一次來(但是此時(shí)有TGC��,也就是cookie���,所以不用去登陸頁面了)�����,但此時(shí)沒有ST��,去cas-server申請一個(gè)于是重定向到cas-server,形如:http: //cas-server:8100/login?service=http ?/localhost:8082 && TGC(cookie) (傳目標(biāo)地址和cookie)
6)cas-server生成了ST后重定向給瀏覽器http ?/localhost:8082/?ticket=ST-25939-sqfsafgefesaedswqqw5-xxxx
7)瀏覽器的服務(wù)器收到ST后再去cas-server驗(yàn)證一下是否為自己簽發(fā)的���,驗(yàn)證通過后就會(huì)顯示頁面信息(同第4步)
008什么是Token?
Token的意思是“令牌”,是服務(wù)端生成的一串字符串�,作為客戶端進(jìn)行請求的一個(gè)標(biāo)識���。
當(dāng)用戶第一次登錄后�,服務(wù)器生成一個(gè)token并將此token返回給客戶端�����,以后客戶端只需帶上這個(gè)token前來請求數(shù)據(jù)即可����,無需再次帶上用戶名和密碼�����。
簡單Token的組成��;uid(用戶唯一的身份標(biāo)識)、time(當(dāng)前時(shí)間的時(shí)間戳)�����、sign(簽名�,token的前幾位以哈希算法壓縮成的一定長度的十六進(jìn)制字符串���。為防止token泄露)���。
009OAuth是什么���?
OAuth 是一個(gè)行業(yè)的標(biāo)準(zhǔn)授權(quán)協(xié)議��,主要用來授權(quán)第三方應(yīng)用獲取有限的權(quán)限��。實(shí)際上它就是一種授權(quán)機(jī)制,最終目的是為第三方應(yīng)用頒發(fā)一個(gè)有時(shí)效性令牌 token,使得第三方應(yīng)用能夠通過該令牌獲取相關(guān)的資源。
OAuth 2.0 比較常用的場景就是第三方登錄��,當(dāng)你的網(wǎng)站接入了第三方登錄時(shí)一般就是使用的 OAuth 2.0 協(xié)議�。
現(xiàn)在OAuth 2.0也常見于支付場景(微信支付、支付寶支付)和開發(fā)平臺(微信開放平臺、阿里開放平臺等等)���。
010介紹下Access Token ?
Access Token 是在 Oauth2.0 協(xié)議中,客戶端訪問資源服務(wù)器時(shí)需要帶上的令牌(其實(shí)就是一段全局唯一的隨機(jī)字符串)。擁有這個(gè)令牌代表著得到用戶的授權(quán)。令牌里面包含哪個(gè)用戶 在什么時(shí)候 授權(quán)給哪個(gè)app去做什么事情。當(dāng)然這些信息是不能直接從Access Token 看出來的�,而是存在平臺方的數(shù)據(jù)庫中�����,平臺可以用Access Token 作為 key 去查詢出這些信息,然后驗(yàn)證調(diào)用方是否有權(quán)限。
011介紹下Refresh Token?
Refresh Token是專用于刷新 Access Token 的 token。如果沒有Refresh Token����,也可以刷新 Access Token�,但每次刷新都要用戶輸入登錄用戶名與密碼���。有了 Refresh Token,客戶端直接用Refresh Token 去更新Access Token,無需用戶進(jìn)行額外的操作����。
012介紹下JWT?
Json Web Token (JWT)是為了在網(wǎng)絡(luò)應(yīng)用環(huán)境間傳遞聲明而執(zhí)行的一種基于JSON的開放標(biāo)準(zhǔn)。該token被設(shè)計(jì)為緊湊且安全,特別適用于分布式站點(diǎn)單點(diǎn)登錄場景。
JWT由頭部(header)、載荷(payload)�����、簽證(signature) 三部分組成�。
京公網(wǎng)安備 11030102010736號