单点登录SSO技术选型

其他 2018-06-02 05:17:28 阅读次数: 5

安全控制框架

spring-security 

spring-security 是spring家族的安全控制框架, 功能非常完善。  Spring Security是能够为J2EE项目提供综合性的安全访问控制解决方案的安全框架。

它依赖于Servlet过滤器。这些过滤器拦截进入请求,并且在应用程序处理该请求之前进行某些安全处理。 

Spring Security对用户请求的拦截过程如下: 

shiro

Apache Shiro 是一个强大而灵活的开源安全框架,它干净利落地处理身份认证,授权,企业会话管理和加密。 

以下是你可以用 Apache Shiro 所做的事情: 

  1. 验证用户来核实他们的身份 
  2. 对用户执行访问控制,
    1. 判断用户是否被分配了一个确定的安全角色 
    2. 判断用户是否被允许做某事 
  3. 在任何环境下使用 Session API,即使没有 Web 或 EJB 容器。 
  4. 在身份验证,访问控制期间或在会话的生命周期,对事件作出反应。 
  5. 聚集一个或多个用户安全数据的数据源,并作为一个单一的复合用户“视图”。 
  6. 启用单点登录(SSO)功能。 内置了jasig-cas
  7. 为没有关联到登录的用户启用"Remember Me"服务


认证技术

cas(单点登录)

解决问题:多个系统只需登录一次,无需重复登录

原理:授权服务器,被授权客户端

1、授权服务器(一个)保存了全局的一份session,客户端(多个)各自保存自己的session

2、客户端登录时判断自己的session是否已登录,若未登录,则(告诉浏览器)重定向到授权服务器(参数带上自己的地址,用于回调)

3、授权服务器判断全局的session是否已登录,若未登录则定向到登录页面,提示用户登录,登录成功后,授权服务器重定向到客户端(参数带上ticket【一个凭证号】)

4、客户端收到ticket后,请求服务器获取用户信息

5、服务器同意客户端授权后,服务端保存用户信息至全局session,客户端将用户保存至本地session

默认不支持http请求, 仅支持https 

oauth2(登录授权)

解决问题:第三方系统访问主系统资源,用户无需将在主系统的账号告知第三方,只需通过主系统的授权,第三方就可使用主系统的资源(

如:APP1需使用微信支付,微信支付会提示用户是否授权,用户授权后,APP1就可使用微信支付功能了)


原理:主系统,授权系统(给主系统授权用的,也可以跟主系统是同一个系统),第三方系统
1、第三方系统需要使用主系统的资源,第三方重定向到授权系统
2、根据不同的授权方式,授权系统提示用户授权
3、用户授权后,授权系统返回一个授权凭证(accessToken)给第三方系统【accessToken是有有效期的】
4、第三方使用accessToken访问主系统资源【accessToken失效后,第三方需重新请求授权系统,以获取新的accessToken】



OAUTH2中的角色:


  • Resource Server: 被授权访问的资源
  • Authotization Server:OAUTH2认证授权中心
  • Resource owner : 资源拥有者
  • Client:使用API的客户端(如Android 、IOS、web app)

工作流程如下:


jwt

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519). 该token被设计为紧凑且安全的,

特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从

资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

基于JWT认证协议,自己开发SSO服务和权限控制。 流程如下

市面上一些主流的技术搭配

spring-security + oauth2 

spring-security + cas   功能较弱,对前后端分离的项目支持不是很好

shiro + cas 

比较

features spring-security + oauth2 shiro + cas jwt
依赖
  • jdk
  • jwt
  • redis
  • redis
  • jdk
  • jwt
自定义权限 支持,用户登录后将用户的权限列表写入认证服务器 支持 , 用户登录后将用户的权限列表写入客户端 支持
认证服务集群   CAS支持 支持
共享session 支持 支持 支持
前后端分离 支持,参数始终携带access_token 支持不够友好,需要改造CAS服务端 支持
缺点
  1. 功能较重,学习成本较高,无法短时间内了解的比较深
  2. 文档比较复杂
  1. 需要集成shiro 和 cas , 项目框架较重,
  2. cas官方提供的示例是仅支持javaWeb, 对前后端分离的项目支持不够友好,需要对CAS服务端进行改造 , 复杂性较高。

需要自己基于JWT认证协议编写SSO服务,开发周期较长

自己编写的话,需要
文档 文档完善 文档完善
优点
  • 功能完善,针对权限控制这一块提供了比较完善的解决方案
  • 集成该框架较简单,开发周期较短
  • spring家族产品,和spring-cloud系列的技术集成较简单,更加成熟
  • 可以搭建稳定的认证服务器。
  • 文档清晰,较简单
  • 功能完善,对权限,用户认证这一块提供的功能非常丰富
  • 集成shiro较简单,开发周期很短。
 可以自定义需求,灵活扩展
       



猜你喜欢

转载自blog.csdn.net/u012394095/article/details/79732224
今日推荐
基于大语言模型的开源知识库问答系统 MaxKB GitHub Star 数量突破 5,000 个!
美国拟限制 AI 大模型出口中国和俄罗斯
苹果将与 OpenAI 达成协议,将 ChatGPT 应用于 iPhone
openKylin 社区生态委员会第六次会议圆满召开
阿里云正式发布通义千问 2.5
Python 3.13 发布首个 Beta:实验性自由线程模式和 JIT、改进交互式解释器
Stack Overflow 拿我的代码去训练 AI 大模型,还封了我的账号
Pop!_OS 的 COSMIC 桌面完成 App Store 上架工作
报告:Django 仍然是 74% 开发者的首选
《2024 年一季度互联网投融资运行情况》研究报告
15 年前上了“FFmpeg 耻辱柱”,今天他还得谢谢咱——腾讯QQPlayer一雪前耻?
TIOBE 5 月榜单:Fortran “复活”进入 Top 10
周排行
BPM为企业带来的实际利益
好程序员web前端分享css常用属性缩写
Java文件下载(excel)
css样式的动态添加及显示和隐藏等零碎用法
axios全局配置以及拦截器
使用Logstash来实时同步MySQL和log日志数据到ES
C++获取当前时间(年月日、时分秒、毫秒)
Odoo产品分析 (四) -- 工具板块(11) -- 网站即时聊天(1)
Java环境配置正确,但是java、javac、java -version均返回“不是内部或外部命令,也不是可运行的程序或批处理文件”?
01 官网下载各种CentOS教程(超详细版)
每日归档
更多
2024-05-14(0)
2024-05-13(18)
2024-05-12(0)
2024-05-11(38)
2024-05-10(38)
2024-05-09(35)
2024-05-08(42)
2024-05-07(14)
2024-05-06(40)
2024-05-05(0)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022