基于springboot3实现单点登录(一): 单点登录及其相关概念介绍

引言

应网友要求,从本文开始我们将实现一套基于springboot3+springsecurity的单点登录认证系统。

单点登录的实现方式有多种,接下来我们会以oauth2为例来介绍和实现。

单点登录介绍

单点登录(Single Sign-On,简称SSO)是一种身份验证机制,它允许用户一次登录后,在多个应用系统中无需再次输入用户名和密码就能访问。SSO的主要价值在于提高用户体验、增强安全性和简化管理。
SSO的实现通常依赖于标准协议和技术,常见的有以下几种:

SSO常见的实现方案、优缺点及其适用场景对比如下:

方案说明优缺点适用场景
基于Cookie实现优点1:简单易实现:利用HTTP Cookie进行状态维护,实现相对简单。
优点2:无状态服务:服务器不需要保存每个用户的会话状态,减轻了服务器负担。
缺点1:跨域限制:Cookie受同源策略限制,不适用于跨域场景。
缺点2:安全性问题:Cookie容易被截获或伪造,需要HTTPS等安全措施保护。
同一域名或子域名下的多个应用。
基于Session实现状态持久化:可以存储更多的用户信息,支持更复杂的会话管理。
灵活性:通过分布式Session可以支持高可用和负载均衡。
性能开销:每次请求都需要查询Session信息,增加数据库或缓存系统的负担。
跨域问题:同样受限于同源策略,不适合跨域应用。
需要存储大量会话数据的场景,且应用位于同一域名下
基于Token的实现无状态:服务器不需要保存会话状态,提高可伸缩性和安全性。
跨域支持:Token可以跨域传输,适用于微服务架构或多域名环境。
安全性:使用加密算法确保Token的安全性。
Token过期管理:需要设计合理的Token生命周期和刷新机制。
存储开销:对于大量并发用户,Token的存储和管理可能成为瓶颈。
微服务架构或涉及多域名的应用。
联邦身份认证互操作性:遵循开放标准,支持跨组织的身份验证和授权。
灵活性:支持多种认证方式和第三方身份提供商。
复杂性:实现和配置较为复杂,需要对标准协议有深入理解。
依赖外部服务:如果使用第三方身份提供商,可能存在服务不可用的风险。
要跨组织或跨平台的身份认证,如企业间合作、政府机构间的互联互通。如常见的Oauth2.0、CAS、SAML2.0等。
集中式身份管理统一管理:集中管理用户身份和权限,简化管理和审计工作。
高效性:避免了每个应用独立维护用户信息的重复工作。
单点故障:集中式服务一旦出现问题,可能影响所有依赖它的应用。
迁移成本:如果已有大量应用,迁移到集中式身份管理系统可能需要较大的工程量。
大型企业内部或组织结构复杂的应用集群,需要统一的用户管理和权限控制

OAuth2.0介绍

OAuth 2.0 是一种认证授权协议标准,有客户端模式(client_credentials)、密码模式(password)、简化模式(implicit)、授权码模式(authorization_code)、token刷新模式(refresh_token)。

介绍 OAuth 2.0 前,先介绍一下 OAuth 2.0 中涉及到的几种角色。

客户端(client):使用认证服务器作为认证渠道的平台,一般指的是第三方应用。例如,微信提供 OAuth 2.0 认证平台,我们的 APP 支持微信登录,那么我们的 APP 对于微信服务来说就是客户端。又例如,我们是政府某一平台的服务,我们平台维护的数据代表着足够高的权威,那么其他政府部门或合作方,需要从我们的平台中查询数据,或者利用我们平台的认证进行登录,那么其他部门或合作方的应用就是客户端。

资源服务器(Resource Server):简单的说,就是提供接口给客户端访问的服务器,访问资源服务器上受保护的接口,则需要带上令牌(token)。例如分布式微服务中的用户服务、订单服务等部署的服务器都属于资源服务器。

资源所有者(Resource Owner):拥有该资源的主体对象,一般指用户。客户端向资源服务器请求获取用户数据时,资源所有者参与确认授权或拒绝操作。

认证服务器(Authorization Server):对客户端和用户进行身份认证、授权的服务器,认证授权成功,则颁发令牌(token)。

客户端模式

客户端模式官网交互图如下:

oauth2_客户端模式交互图
客户端模式是拿权级别最低额且要求服务器对客户端高度信任的模式,因为客户端向认证服务器请求认证授权的过程中,自始至终都没有用户的参与,未经过用户允许,客户端凭借提供自己在认证服务器追测的信息即可在认证服务器完成认证授权,而客户端获得认证授权后,泽拥有从资源服务器操作用户数据的去厄,这种模式一般应用于公司内部系统或者有着高度保密责任的合作伙伴之间的对接,使用较多的场景是两个不同系统之间的开放API的认证。其时序图如下:
oauth2_客户端模式时序图
简要说明如下:

  1. 客户端现在认证服务器注册好户端信息
  2. 认证服务器存储维护客户端信息
  3. 客户端使用服务端分发的凭证参数:client_id、client_secret、grant_type等参数向认证服务器发起获取token的请求
  4. 认证服务器端对客户端提交的参数进行校验,验证通过则发放令牌,失败泽返回异常信息
  5. 客户端获取到令牌后,即可使用令牌访问资源服务器了。

密码模式

官网交互图如下:
oauth2_密码模式交互图
这种方式是在客户端模式的基础上使用用户的账号和密码做认证,是一种相对来说非常不安全的方式,在oauth2.1中该方式已经被废弃了,不做过多说明。

授权码模式

官网交互图如下:
oauth2_授权码模式交互图
授权码模式是 OAuth 2.0 协议中安全级别最高的一种认证模式,与密码模式类似,都需要使用到用户的账号信息在认证平台的登录操作,但有所不同的是,密码模式是要求用户直接将自己在认证平台的账号、密码提供给第三方应用(客户端),由第三方平台进行代理用户在认证平台的登录操作;而授权码模式则是用户在认证平台提供的界面进行登录,然后通过用户确认授权后才将一次性授权码提供给第三方应用,第三方应用拿到一次性授权码以后才去认证平台获取 token。

授权码模式的时序图如下:

oauth2_授权码模式时序图

时序图说明如下:

  1. 客户端首先在认证服务器注册号客户端信息
  2. 认证服务器存储维护客户端信息
  3. 用户在客户端上发起登录
  4. 向认证服务器发起授权请求,如:http://localhost:8080/oauth2/authorize?client=xxx&response_type=code&redirect_uri=https://www.baidu.com&scope=admin,user
  5. 认证服务器带上客户端参数,将操作引导至用户授权确认页面,用户在该页面进行确认操作。
  6. 用户在授权页面选择授权范围,点击确认提交,则会带上客户端参数和用户授权范围想认证服务器获取授权码
  7. 认证服务器校验客户端信息和授权范围,校验通过则将授权码拼接到客户端注册的回调地址返回给客户端
  8. 客户端拿到授权码后,带上客户端信息和授权码想认证服务器换取令牌
  9. 认证服务器验证客户端信息和授权码,如果验证通过则返回令牌,不通过则返回异常信息
  10. 客户端获取到令牌后就可以带着令牌去访问资源服务器了。

授权码是我们在日常开发中最常见的认证方式了,虽略显复杂但却能保证安全性。如我们接入企业微信、微信登录时它们提供的都是基于授权码模式的相关API。

简化模式

官网交互图如下:

oauth2_简化模式交互图
简化模式(或者叫做隐身模式)是相对于授权码模式而言的,对授权码模式的交互做了一下简化,省去了客户端使用授权码去认证服务器换取令牌的操作,及用户在代理页面选择授权范围提交确认后认证服务器通过客户端注册的毁掉地址直接给客户端返回令牌了。

其时序图如下所示:

oauth2_简化模式时序图

Refresh Token模式

官网交互图如下:

oauth2_刷新token交互图

RefreshToken模式是对access_token过期的一种补办操作,换句话说可以叫做自动续期。它在给客户端办法access_token的时候也会同时发放refresh_token,而refresh_token的有效期要远大于access_token的有效期,当客户端发现access_token过期时,客户端可以带着refresh_token向认证服务器请求一个新的access_token, 从而避免了用户的再次登录。当然如果refresh_token也过期的话是需要用户重新进行登录的。

其时序图如下:

oauth2_刷新token时序图
相对来说比较好理解,不做过多说明。

OAuth2.1介绍

Oauth2.1中去掉了密码模式、简化模式,增加了设备授权码模式,同时也对授权码模式增加了PKCE扩展,下面对Oauth2.1中的认证授权模式进行一些讲解。

客户端模式

OAuth2.0的客户端模式在OAuth2.1中被保留下来,基本流程和实现方案上与OAuth2.0中的是一致的。

授权码模式

授权码模式交互过程与OAuth2.0的是一致的,OAuth2.1版本提供了PKCE扩展。

PKCE(Proof Key for Code Exchange)是OAuth 2.1标准中推荐用于增强授权码(Authorization Code)流安全性的一个机制,特别是在处理公共客户端(public clients)时,如移动应用或JavaScript前端应用,这些客户端通常无法安全地存储客户端密钥(client secret)。PKCE通过引入临时的code_verifier和code_challenge对来防止中间人攻击和重放攻击。

在OAuth 2.1中,PKCE的流程如下:

  • 生成code_verifier: 客户端生成一个随机字符串code_verifier,这个字符串应该足够长且具有足够的熵以避免预测。
  • 计算code_challenge: 使用code_verifier并通过SHA-256哈希算法计算出code_challenge。然后,将code_challenge进行Base64URL编码。
  • 请求授权码: 在向授权服务器请求授权码时,客户端将code_challenge和code_challenge_method(通常是S256表示使用SHA-256算法)作为参数传递。
  • 验证授权码: 当客户端使用授权码换取访问令牌时,它同时发送code_verifier给授权服务器。
    授权服务器接收code_verifier并重新计算code_challenge以验证其与之前收到的code_challenge是否匹配。
  • 发放令牌: 如果code_challenge匹配,授权服务器将发放访问令牌给客户端。
    PKCE的引入使得即使客户端密钥被泄露,攻击者也无法利用截获的授权码,因为没有正确的code_verifier,他们无法通过验证过程。

在OAuth 2.1中,PKCE是强制性的,这意味着所有支持OAuth 2.1的授权服务器必须实现并支持PKCE,以确保更高的安全性。

设备授权码模式

设备授权码模式(Device Authorization Grant)是OAuth 2.1规范中定义的一种授权模式,主要用于那些没有浏览器或者输入能力有限的设备,例如智能电视、游戏机、打印机等。这种模式允许设备发起授权请求,而最终的用户认证和授权决策则在另一个设备上完成,通常是用户的智能手机或计算机。

设备授权码模式的流程如下:

  • 设备发起请求: 设备(客户端)向授权服务器发起请求,请求一个设备授权码(device code)和一个用户码(user code)。这个请求通常包含客户端ID(client ID)和可选的范围(scope)。
  • 显示用户码和授权链接: 授权服务器响应设备请求,返回一个设备授权码和一个用户码,并可能还包含一个验证URL和一个间隔时间,指示设备应多久轮询一次授权状态。设备将用户码和验证URL显示给用户。
  • 用户手动确认: 用户需要在另一个设备上访问提供的验证URL,并输入用户码,从而触发用户界面,让用户确认是否授权设备访问其账户。
  • 设备轮询: 设备开始周期性地轮询授权服务器,检查用户是否已经完成了授权。设备使用设备授权码进行轮询,直到授权完成或超时。
  • 授权完成: 当用户在验证URL上完成授权后,设备的轮询请求会成功,并返回访问令牌(access token)和刷新令牌(refresh token),设备可以使用这些令牌来访问受保护的资源。
  • 访问资源: 设备使用接收到的访问令牌向资源服务器请求访问受保护的资源。

官网交互流程图如下:

oauth2.1_设备授权码模式交互图

Refresh Token模式

该模式与oauth2.0的Refresh Token一致,不做赘述。

OpenID Connect

OpenID Connect (OIDC) 是一种基于 OAuth 2.x 的身份验证层,它允许应用程序不仅获取对资源的访问权限,还能获取有关授权用户的信息,包括但不限于用户的唯一标识符、姓名、电子邮件等。

OpenID Connect 1.0(通常简称 OIDC)是建立在 OAuth 2.x 授权协议之上的,它利用 OAuth 的授权码、隐式、密码和客户端凭证等授权模式来实现身份验证。

OIDC 的核心概念包括:

  • ID Token: OIDC 引入了 ID Token,这是一个经过数字签名的 JSON Web Token (JWT),包含了关于用户身份的声明。它通常在授权响应中返回给客户端,用于证明用户的身份,并且可以包含用户的基本信息。
  • UserInfo Endpoint: 除了 ID Token,OIDC 还定义了一个 UserInfo Endpoint,客户端可以通过访问这个端点并使用 Access Token 来获取用户的详细信息。
  • Discovery Mechanism: OIDC 引入了发现机制,允许客户端自动检测 OpenID Provider 的元数据,包括授权端点、令牌端点、用户信息端点等的URL,简化了客户端的配置过程。
  • Dynamic Client Registration: OIDC 支持动态客户端注册,允许客户端在运行时向 OpenID Provider 注册,以获取客户端ID和其他配置信息。
  • Prompt Parameters: OIDC 支持提示参数,如 prompt=login 或 prompt=consent,用于控制用户界面的行为,如强制用户重新登录或显示同意屏幕。
  • Session Management: OIDC 提供了会话管理机制,允许客户端检查用户的会话状态,确保用户在多个相关服务之间的会话一致性。
  • Scopes and Claims: OIDC 扩展了 OAuth 的范围(scopes)概念,引入了 claims,允许客户端请求特定的用户信息。
  • Logout: OIDC 定义了注销流程,允许客户端请求终止用户的会话。
    Token Introspection and Validation: OIDC 支持令牌内省和验证,允许资源服务器确认 Access Token 和 ID Token 的有效性。

通过这些特性,OpenID Connect 为基于 OAuth 2.x 的应用程序提供了一个标准化的方法来处理用户身份验证,使得开发者可以轻松地在不同服务之间实现单点登录(SSO)和身份信息共享。

总结

本文主要是对单点登录及其实现方式做了一些介绍,同时介绍了OAuth2.0和OAuth2.1中的授权模式和一些关键概念,以此来作为后续文章的理论铺垫。接下来,我将基于本文的理论结合实际代码进行完整的流程实现。

针对本文提到的各个内容有任何疑问或者建议欢迎留言评论~~~

者可以轻松地在不同服务之间实现单点登录(SSO)和身份信息共享。

总结

本文主要是对单点登录及其实现方式做了一些介绍,同时介绍了OAuth2.0和OAuth2.1中的授权模式和一些关键概念,以此来作为后续文章的理论铺垫。接下来,我将基于本文的理论结合实际代码进行完整的流程实现。

针对本文提到的各个内容有任何疑问或者建议欢迎留言评论~~~

创作不易,欢迎一键三连~~~~

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/47359.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

nftables(7)集合(SETS)

简介 在nftables中,集合(sets)是一个非常有用的特性,它允许你以集合的形式管理IP地址、端口号等网络元素,从而简化规则的配置和管理。 nftables提供了两种类型的集合:匿名集合和命名集合。 匿名集合&…

使用base64通用文件上传

编写一个上传文件的组件 tuku,点击图片上传后使用FileReader异步读取文件的内容&#xff0c;读取完成后获得文件名和base64码&#xff0c;调用后端uploadApi,传入姓名和base64文件信息&#xff0c;后端存入nginx中&#xff0c;用于访问 tuku.ts组件代码&#xff1a; <templa…

系统测试-白盒测试学习

目录 1、语句覆盖法&#xff1a; 2、判定覆盖法&#xff1a; 3、条件覆盖法&#xff1a; 4、判定条件覆盖&#xff1a; 5、条件组合的覆盖&#xff1a; 6、路径覆盖&#xff1a; 黑盒&#xff1a;需求 白盒&#xff1a;主要用于单元测试 1、语句覆盖法&#xff1a; 程序…

OSU!题解(概率dp)

题目&#xff1a;OSU! - 洛谷 思路&#xff1a; 设E()表示截止到i所获得的分数&#xff1b; 对于到i点的每一个l&#xff0c;如果第i1点为1&#xff0c;那么会新增分数3*l^23*l1; 就有递推公式方程&#xff1a; E()E()p[i1]p*(3*l^23*l1);(p代表截止到i获得长度l的概率)&a…

怎样在 PostgreSQL 中优化对多表关联的连接条件选择?

&#x1f345;关注博主&#x1f397;️ 带你畅游技术世界&#xff0c;不错过每一次成长机会&#xff01;&#x1f4da;领书&#xff1a;PostgreSQL 入门到精通.pdf 文章目录 怎样在 PostgreSQL 中优化对多表关联的连接条件选择一、理解多表关联的基本概念二、选择合适的连接条件…

【C++】拷贝构造函数及析构函数

&#x1f4e2;博客主页&#xff1a;https://blog.csdn.net/2301_779549673 &#x1f4e2;欢迎点赞 &#x1f44d; 收藏 ⭐留言 &#x1f4dd; 如有错误敬请指正&#xff01; &#x1f4e2;本文由 JohnKi 原创&#xff0c;首发于 CSDN&#x1f649; &#x1f4e2;未来很长&#…

dbeaver连接mysql8异常

部署了mysql8&#xff0c;尝试用dbeaver 24.1.2连接它。结果配置完成后测试连接时报错&#xff1a;Public Key Retrieval is not allowed. 按照提示修改驱动属性&#xff1a; allowPublicKeyRetrievaltrue

【BUG】已解决:ValueError: Expected 2D array, got 1D array instead

已解决&#xff1a;ValueError: Expected 2D array, got 1D array instead 欢迎来到英杰社区https://bbs.csdn.net/topics/617804998 欢迎来到我的主页&#xff0c;我是博主英杰&#xff0c;211科班出身&#xff0c;就职于医疗科技公司&#xff0c;热衷分享知识&#xff0c;武汉…

Python | Leetcode Python题解之第238题除自身以外数组的乘积

题目&#xff1a; 题解&#xff1a; class Solution:def productExceptSelf(self, nums: List[int]) -> List[int]:length len(nums)# L 和 R 分别表示左右两侧的乘积列表L, R, answer [0]*length, [0]*length, [0]*length# L[i] 为索引 i 左侧所有元素的乘积# 对于索引为…

人工智能 (AI) 应用:一个异常肺呼吸声辅助诊断系统

关键词&#xff1a;深度学习、肺癌、多标签、轻量级模型设计、异常肺音、音频分类 近年来&#xff0c;流感对人类的危害不断增加&#xff0c;COVID-19疾病的迅速传播加剧了这一问题&#xff0c;导致大多数患者因呼吸系统异常而死亡。在这次流行病爆发之前&#xff0c;呼吸系统…

SCI一区级 | Matlab实现GJO-CNN-LSTM-Multihead-Attention多变量时间序列预测

SCI一区级 | Matlab实现GJO-CNN-LSTM-Mutilhead-Attention多变量时间序列预测 目录 SCI一区级 | Matlab实现GJO-CNN-LSTM-Mutilhead-Attention多变量时间序列预测预测效果基本介绍程序设计参考资料 预测效果 基本介绍 1.Matlab实现GJO-CNN-LSTM-Mutilhead-Attention金豺优化算…

MongoDB自学笔记(三)

一、前文回顾 上一篇文章中我们学习了更新操作&#xff0c;以及讲解了部分的更新操作符&#xff0c;今天我们继续学习剩余的更新操作符。 二、更新操作符 1、$rename 语法&#xff1a;{ $rename: { < field1 >: < newName1 >, < field2 >: < newName2…

力扣刷题之978.最长湍流子数组

题干要求&#xff1a; 给定一个整数数组 arr &#xff0c;返回 arr 的 最大湍流子数组的长度 。 如果比较符号在子数组中的每个相邻元素对之间翻转&#xff0c;则该子数组是 湍流子数组 。 更正式地来说&#xff0c;当 arr 的子数组 A[i], A[i1], ..., A[j] 满足仅满足下列条…

FPGA笔试

半加器和全加器的区别&#xff1a; 1、半加器不考虑输入的进位&#xff0c;称之为半加。 2、全加器反之&#xff0c;考虑进位。 SRAM/DRAM优缺点对比_sram和dram的主要区别及优缺点-CSDN博客 消除竞争冒险的方法 ①滤波电容&#xff1a;因为尖峰脉冲很窄&#xff0c;用很小的…

棱镜七彩上榜《嘶吼2024网络安全产业图谱》两大领域

7月16日&#xff0c;嘶吼安全产业研究院正式发布《嘶吼2024网络安全产业图谱》&#xff0c;棱镜七彩凭借在软件供应链安全领域出色的技术能力和优异的市场表现&#xff0c;上榜软件成分分析&#xff08;SCA&#xff09;、源代码安全两项细分领域。 据悉&#xff0c;本次《嘶吼2…

成为CMake砖家(2): macOS创建CMake本地文档的app

大家好&#xff0c;我是白鱼。 使用 CMake 的小伙伴&#xff0c; 有的是在 Windows 上&#xff0c; 还有的是在 macOS 上。之前咱们讲了 windows 上查看 cmake 本地 html 文档的方式&#xff0c; 这篇讲讲 macOS 上查看 cmake 本地 html 文档的方法。 1. 问题描述 当使用 CMa…

防火墙--带宽管理

目录 核心思想 带宽限制 带宽保证 连接数的限制 如何实现 接口带宽 队列调度 配置位置 在接口处配置 带宽策略配置位置 带宽通道 配置地方 接口带宽、带宽策略和带宽通道联系 配置顺序 带块通道在那里配置 选项解释 引用方式 策略独占 策略共享 重标记DSCP优先…

软件游戏缺失concrt140.dll的解决方法,轻松搞定dll丢失问题

为了解决concrt140.dll文件缺失的问题&#xff0c;首先需要了解concrt140.dll文件的具体情况。只有在充分了解的基础上&#xff0c;才能采取有效的解决措施。下面&#xff0c;将详细介绍concrt140.dll文件及其解决方案。 一、了解concrt140.dll是什么 concrt140.dll 是微软的一…

SmartPipe新增功能:自动识别含间隙的低质量模型与自动处理超过180度的圆弧管路

自2022年12月SmartPipe上市以来&#xff0c;我一直在不断迭代和升级其轴线识别算法。对于客户反馈的无法自动转换的模型&#xff0c;我都视若珍宝&#xff0c;将其视为提升算法性能的绝佳机会。经过一年半的积累&#xff0c;SmartPipe的测试模型从最初的10个逐步迭代到近100个。…

使用MySQL WorkBench导出SQL脚本

参考: 在MySQL workbench 中导出sql脚本文件_mysql workbench自动保存的脚本在哪-CSDN博客 需要注意的是: 选择高级选项 这里不勾选&#xff0c;这样生成的INSERT是逐条的。将每个ROW合并为一个INSERT语句。 这里选择dump structure and data