在微服務(wù)時(shí)代，用戶需要在多個(gè)應(yīng)用程序和服務(wù)之間進(jìn)行無(wú)縫切換，同時(shí)保持其登錄狀態(tài)。我們可以通過(guò)單點(diǎn)登錄（SSO）或者 OAuth2.0 等身份驗(yàn)證和授權(quán)協(xié)議來(lái)實(shí)現(xiàn)這一目標(biāo)。

1、單點(diǎn)登錄（SSO）

單點(diǎn)登錄（SSO）是一種身份驗(yàn)證方法，允許用戶在一個(gè)應(yīng)用程序或服務(wù)中登錄后，無(wú)需再次輸入憑據(jù)即可訪問(wèn)其他相關(guān)應(yīng)用程序或服務(wù)。這種方法通過(guò)將登錄認(rèn)證和業(yè)務(wù)系統(tǒng)分離，使用獨(dú)立的登錄中心，實(shí)現(xiàn)了在登錄中心登錄后，所有相關(guān)的業(yè)務(wù)系統(tǒng)都能免登錄訪問(wèn)資源。

SSO 單點(diǎn)登錄的方案實(shí)際上有很多種：

• 基于會(huì)話的單點(diǎn)登錄（Session-Based SSO）：

這是最早和最簡(jiǎn)單的單點(diǎn)登錄實(shí)現(xiàn)方式。當(dāng)用戶在第一個(gè)應(yīng)用程序中登錄時(shí)，服務(wù)器會(huì)創(chuàng)建一個(gè)會(huì)話，并將該會(huì)話 ID 存儲(chǔ)在用戶的瀏覽器中（通常是通過(guò) Cookie）。當(dāng)用戶訪問(wèn)其他應(yīng)用程序時(shí)，瀏覽器會(huì)發(fā)送該會(huì)話 ID，從而允許服務(wù)器驗(yàn)證用戶的身份。此方法的缺點(diǎn)是它依賴于瀏覽器和會(huì)話狀態(tài)，對(duì)于分布式或者微服務(wù)系統(tǒng)而言，可能需要在服務(wù)端做會(huì)話共享，但是服務(wù)端會(huì)話共享效率比較低，這不是一個(gè)好的方案。對(duì)這種方案感興趣的話可以看看松哥之前發(fā)的 Spring Session 會(huì)話共享的文章。

• 基于令牌的單點(diǎn)登錄（Token-Based SSO）：

這種方法通常使用 JSON Web Tokens（JWT）或類似的令牌格式。當(dāng)用戶在第一個(gè)應(yīng)用程序中登錄時(shí)，服務(wù)器會(huì)生成一個(gè)包含用戶信息的令牌，并將其發(fā)送給客戶端（通常是瀏覽器）?？蛻舳藭?huì)存儲(chǔ)這個(gè)令牌，并在訪問(wèn)其他應(yīng)用程序時(shí)將其作為請(qǐng)求的一部分發(fā)送。應(yīng)用程序會(huì)驗(yàn)證令牌的有效性，并據(jù)此授予用戶訪問(wèn)權(quán)限。這種方法更加安全和靈活，因?yàn)樗灰蕾囉跁?huì)話狀態(tài)，可以在多個(gè)域和服務(wù)器之間工作。這種方案實(shí)際上有很多變種，但是目前大部分的分布式項(xiàng)目單點(diǎn)登錄基本上都是這種方案，或者是基于這種方案衍生出來(lái)的變種方案。

• 基于 OAuth 的單點(diǎn)登錄（OAuth-Based SSO）：

OAuth 是一個(gè)開(kāi)放標(biāo)準(zhǔn)，允許用戶授權(quán)第三方應(yīng)用程序訪問(wèn)其存儲(chǔ)在另一個(gè)服務(wù)提供商上的信息，而無(wú)需將用戶名和密碼提供給該第三方應(yīng)用程序。OAuth2.0 是最常用的版本，它支持多種授權(quán)流程，包括授權(quán)碼流程、隱式流程和客戶端憑據(jù)流程。

在單點(diǎn)登錄的上下文中，OAuth 可以用作一個(gè)中介，用戶在一個(gè)“授權(quán)服務(wù)器”上登錄，并獲得一個(gè)訪問(wèn)令牌，該令牌可以用于訪問(wèn)其他“資源服務(wù)器”上的資源。OAuth 提供了豐富的功能和安全性，但它也相對(duì)復(fù)雜，需要仔細(xì)配置和管理。松哥之前也專門寫過(guò) OAuth2 相關(guān)的教程，大家在公眾號(hào)后臺(tái)回復(fù) oauth2 有鏈接。

• 基于SAML的單點(diǎn)登錄（SAML-Based SSO）：

SAML（Security Assertion Markup Language）是一種 XML 框架，用于在不同安全域之間交換身份驗(yàn)證和授權(quán)信息。SAML 允許一個(gè)實(shí)體（通常是身份提供商或 IdP）向另一個(gè)實(shí)體（通常是服務(wù)提供商或 SP）發(fā)送安全斷言，證明用戶已經(jīng)成功登錄。SAML 通常與 OAuth 結(jié)合使用，以提供更強(qiáng)大和靈活的單點(diǎn)登錄解決方案。但是 SAML 比較復(fù)雜，所以維護(hù)起來(lái)可能會(huì)有壓力。

回到具體的生產(chǎn)環(huán)境，選擇哪種單點(diǎn)登錄方案取決于具體的需求和環(huán)境。對(duì)于是分布式但是又比較簡(jiǎn)單的內(nèi)部應(yīng)用程序，基于會(huì)話的 SSO 可能就足夠了。但是大型分布式系統(tǒng)，基于令牌或 OAuth 的 SSO 可能更合適。小伙伴還是要結(jié)合自己的實(shí)際項(xiàng)目去選擇。

2、OAuth2.0

OAuth2.0 是一種開(kāi)放授權(quán)協(xié)議，允許用戶授權(quán)第三方應(yīng)用程序訪問(wèn)其存儲(chǔ)在服務(wù)提供商（如QQ、WeiXin、抖音等）上的特定資源。與 SSO 類似，OAuth2.0 也使用了令牌的概念來(lái)實(shí)現(xiàn)身份驗(yàn)證和授權(quán)。

OAuth2.0 定義了四種授權(quán)模式，分別是：

• 授權(quán)碼模式
• 隱式模式
• 密碼模式
• 客戶端模式

其中，授權(quán)碼模式是最常用的一種模式，適用于那些有后端的 Web 應(yīng)用程序。在這種模式下，第三方應(yīng)用程序首先向授權(quán)服務(wù)器申請(qǐng)一個(gè)授權(quán)碼，然后使用這個(gè)授權(quán)碼向授權(quán)服務(wù)器請(qǐng)求訪問(wèn)令牌。一旦獲得訪問(wèn)令牌，第三方應(yīng)用程序就可以使用這個(gè)令牌訪問(wèn)用戶授權(quán)的資源。

注意，OAuth2.0 并不直接實(shí)現(xiàn)單點(diǎn)登錄功能。它主要關(guān)注授權(quán)和訪問(wèn)控制，允許用戶授權(quán)第三方應(yīng)用程序訪問(wèn)其資源。然而，通過(guò)與其他技術(shù)（如SSO）結(jié)合使用，OAuth2.0 可以實(shí)現(xiàn)單點(diǎn)登錄的效果。

目前來(lái)說(shuō)，如果你想在項(xiàng)目中使用 OAuth2 的話，主要有如下幾種主流框架：

• Spring Security OAuth：Spring Security OAuth 是 Spring框架的一個(gè)擴(kuò)展，提供了對(duì) OAuth2 協(xié)議的全面支持。它允許開(kāi)發(fā)者在 Spring 應(yīng)用程序中輕松實(shí)現(xiàn) OAuth2 認(rèn)證和授權(quán)流程，包括授權(quán)服務(wù)器、資源服務(wù)器和客戶端應(yīng)用程序的配置。
• Keycloak：Keycloak 是一個(gè)開(kāi)源的身份和訪問(wèn)管理解決方案，它支持 OAuth2、OpenID Connect 和其他身份協(xié)議。Keycloak 提供了一個(gè)易于使用的管理界面，允許開(kāi)發(fā)者配置和管理 OAuth2 相關(guān)的設(shè)置，如客戶端、用戶和角色等。
• Apache Oltu：Apache Oltu 是一個(gè)實(shí)現(xiàn)了 OAuth2 協(xié)議的 Java 庫(kù)，它提供了對(duì) OAuth2 流程的抽象和簡(jiǎn)化。Oltu 可以幫助開(kāi)發(fā)者快速構(gòu)建 OAuth2 客戶端和服務(wù)器組件，并支持多種授權(quán)流程，如授權(quán)碼流程、隱式流程等。

這些框架和庫(kù)提供了 OAuth2 協(xié)議的完整實(shí)現(xiàn)，包括令牌生成、驗(yàn)證、刷新、撤銷等。它們簡(jiǎn)化了 OAuth2 流程的集成，使得開(kāi)發(fā)者能夠?qū)Ｗ⒂跇I(yè)務(wù)邏輯的實(shí)現(xiàn)，而無(wú)需過(guò)多關(guān)注底層的認(rèn)證和授權(quán)細(xì)節(jié)。

3、SSO 與 OAuth2.0

首先，SSO 主要關(guān)注用戶在多個(gè)應(yīng)用程序和服務(wù)之間的無(wú)縫切換和保持登錄狀態(tài)的問(wèn)題。它通過(guò)獨(dú)立的登錄中心來(lái)實(shí)現(xiàn)這一目標(biāo)，使用戶只需在一個(gè)地方輸入憑據(jù)即可訪問(wèn)所有相關(guān)應(yīng)用程序和服務(wù)。而 OAuth2.0 則主要關(guān)注授權(quán)和訪問(wèn)控制的問(wèn)題，允許用戶授權(quán)第三方應(yīng)用程序訪問(wèn)其存儲(chǔ)在服務(wù)提供商上的特定資源。

其次，SSO 通常只涉及用戶、登錄中心和業(yè)務(wù)系統(tǒng)之間的交互，而 OAuth2.0 則涉及用戶、第三方應(yīng)用程序、授權(quán)服務(wù)器和資源服務(wù)器之間的交互。這使得 OAuth2.0 更加復(fù)雜和靈活，適用于多種場(chǎng)景和應(yīng)用程序類型。

到此這篇關(guān)于SSO單點(diǎn)登錄和OAuth2.0區(qū)別小結(jié)的文章就介紹到這了,更多相關(guān)SSO單點(diǎn)登錄 OAuth2.0內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評(píng)論