共计 2196 个字符,预计需要花费 6 分钟才能阅读完成。
登录总结
前面基本介绍了 security 的常规用法,同时介绍了 JWT 和它的一个简单实现,基本上开发中遇到的登录问题都能解决了,即使在分布式开发,或者微服务开发中实现登录也基本没有问题了。security 本身已经实现的比较完善的安全处理,加上 JWT 的验证方式,可以实现一个理想的登录功能。
我们来看登录,给用户一个账号,验证有效后登录成功,这一步是任何系统都无法避免的。无论这个账号只能登录一个系统还是像支付宝账号一样登录多个 app,无论账号是用户名密码,还是手机验证码,或者邮箱等其他形式,可以说认证这一步是最基础的,无法避免。
登录成功后,通过授权可以让用户访问一些登录前无法访问的页面或者接口,而且无论 session 或者 token,其实都是有有效期的,过了有效期就需要重新登录。从这种形式上看,授权包含了更多的场景,不仅是内部已经登录的用户,还有可能是第三方的应用,或者两个系统之间的信息交换等等。而且微服务的开发模式下,服务越来越多,可以被授权的内容也越来越多,如果没有统一的方式来管理这些接口资源的授权,会非常麻烦。因此,系统针对所有的访问需要有统一的认证和授权的机制,而 OAuth2.0 是我们实现这种统一认证授权非常好的一个选择。
OAuth2.0 介绍
OAuth 2.0 是目前最流行的授权机制,用来授权第三方应用,获取用户数据。最经典的场景就是我们使用 QQ 来进行第三方登录的时候,选择可以访问用户的哪些信息。关于 OAuth 2.0 的介绍,推荐读取阮一峰的三篇介绍文章,地址是:
- OAuth 2.0 的一个简单解释
- OAuth 2.0 的四种方式
- GitHub OAuth 第三方登录示例教程
这三篇文章是一个非常好和非常详细的 OAuth2.0 的入门。
关于 OAuth2.0 的理解,用来授权第三方应用,以前总是理解不到位的原因是,我没有站在不同的角度去分析思考。比如在使用 QQ 进行第三方登录时,是我们登录的软件需要获取我们 qq 账号的部分用户信息,因此需要腾讯的认证授权,我们需要在一键登录(授权)的时候,登录 QQ,点击同意即可。
而如果我们作为开发人员,去设计一个 OAuth2.0 授权功能的时候,需要从开发人员角度去思考哪部分是我们要完成的功能,比如上面的 QQ 第三方登录,首先 QQ 软件是我们开发人员开发的,第三方应用有一个我们软件的 QQ 账号,第三方用户想在自己的软件上面展示第三方的 QQ 账号的部分用户信息,需要来我们的授权服务申请,同意后才能查询我们开发的软件中的用户信息,因此我们要开发的是一个基本的 QQ 服务(资源服务),一个授权服务,并且第三方可以在我方注册账号,或者可以给第三方分配账号。
关于第三方应用,可以是其它公司的系统,也可以本公司架构内的其它服务,大家可以根据阮一峰的文章,参考开发人员的任务属于文章中的哪些内容。这样,对开发 OAuth2.0 和使用 OAuth2.0 会有清晰的区分和理解。
SSO 单点登录
单点登录 (SingleSignOn,SSO),就是通过用户的一次性鉴别登录。当用户在身份认证服务器上登录一次以后,即可获得访问单点登录系统中其他关联系统和应用软件的权限,同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的,这意味着在多个应用系统中,用户只需一次登录就可以访问所有相互信任的应用系统。这种方式减少了由登录产生的时间消耗,辅助了用户管理,是目前比较流行的。
当用户第一次访问应用系统 A 的时候,因为还没有登录,会被引导到认证系统中进行登录;根据用户提供的登录信息,认证系统进行身份校验,如果通过校验,应该返回给用户一个认证的凭据--ticket;用户再访问别的应用的时候就会将这个 ticket 带上,作为自己认证的凭据,应用系统接受到请求之后会把 ticket 送到认证系统进行校验,检查 ticket 的合法性。如果通过校验,用户就可以在不用再次登录的情况下访问应用系统 B 和应用系统 C 了。
从上面的介绍可以看得出,单点登录需要的正是一个共享的授权和验证系统,也就是说 SSO 是可以使用 OAuth2.0 机制去设计实现的。但是 SSO 和 OAuth2.0 也有一点区别,sso 和 oauth2.0 在应用场景上的区别在于,使用 sso 的各个系统(子模块)之间是互相信任的,通常是一个厂家的各个软件产品,或者是一个产品的不同模块系统。使用 oauth2.0 的各个应用大部分之间是互相不信任的,通常是不同厂家之间的账号共享。OAuth2.0 解决的是服务提供方(微信等)给第三方应用授权的问题,而 SSO 解决的是大型系统中各个子系统如何共享登陆状态的问题(比如你登录了百度首页,那么你进入百度百科,百度贴吧,百度音乐等服务的时候都不需要重新登录)。
Spring Cloud Security
Spring Cloud Security 组件可以理解为,springboot security 加上 OAuth2.0 的整合,可以实现微服务系统中 sso 单点登录功能,和第三方授权功能,是一个强大的权限组件。关于 springboot2.1.x 版本对应使用的 springcloud 的 security 组件的官方文档如下:
- https://cloud.spring.io/sprin…
文档的目录如下:
从目录上看,Spring Cloud Security 组件主要的功能也是 sso 和资源认证授权,后面的内容主要用来学习 Spring Cloud Security。