sso

之前写了很多关于spring cloud的文章，今天我们对OAuth2.0的整合方式做一下笔记，首先我从网上找了一些关于OAuth2.0的一些基础知识点，帮助大家回顾一下知识点： 一、oauth中的角色 client：调用资源服务器API的应用 Oauth 2.0 Provider：包括Authorization Server和Resource Server （1）Authorization Server：认证服务器，进行认证和授权 （2）Resource Server：资源服务器，保护受保护的资源 user：资源的拥有者 二、下面详细介绍一下Oauth 2.0 Provider Authorization Server: （1）AuthorizationEndpoint:进行授权的服务，Default URL: /oauth/authorize （2）TokenEndpoint：获取token的服务，Default URL: /oauth/token Resource Server: OAuth2AuthenticationProcessingFilter：给带有访问令牌的请求加载认证 三、下面再来详细介绍一下Authorization Server: 一般情况下，创建两个配置类，一个继承AuthorizationServerConfigurerAdapter

上一篇是站在巨人的肩膀上去研究OAuth2.0，也是为了快速帮助大家认识OAuth2.0，闲话少说，我根据框架中OAuth2.0的使用总结，画了一个简单的流程图（根据用户名+密码实现OAuth2.0的登录认证）： 上面的图很清楚的描述了当前登录login的流程，现在我们针对于login做成相关的微服务，解析如下： 请求方式：POST 服务URL： http://localhost:8080/user/login 参数类型:application/json Headers: Content-Type: application/json Authorization: Basic QXkjkdkYkhfeyKOKKHUM67ejfjeSfnrRdk5nPT0= Body:{ "userName":"admin", ---也可以是手机号码等 "password": "e10adc3949ba59abbe56e057f20f883e" } 返回值类型: application/json 返回的结果集： { "code": "200", "message": "Success", "version": "v1.0", "data": { "userInfo": { "userId": "00001", "pwd": "e10adc3949ba59abbe56e057f20f883e",

上一篇我根据框架中OAuth2.0的使用总结，画了一个根据用户名+密码实现OAuth2.0的登录认证的流程图，今天我们看一下logout的流程： Java代码 收藏代码 /** 用户注销 @param accessToken @return */ @RequestMapping(value = "/user/logout", method = RequestMethod.POST) public ResponseVO userLogout(@RequestHeader(value = "accessToken", required = true) String accessToken, @RequestHeader(value = "userId", required = true) Long userId) throws Exception{ OauthAccessToken oauthAccessToken = userMgrService.getOauthAccessToken(accessToken); if(null == oauthAccessToken){ return UserResponseCode.buildEnumResponseVO(UserResponseCode.RESPONSE_CODE_OAUTH_ACCESSTOKEN_EMPTY, null);

上一篇我根据框架中OAuth2.0的使用总结，画了SSO单点登录之OAuth2.0 登出流程，今天我们看一下根据用户token获取yoghurt信息的流程： Java代码 收藏代码 /** 根据token获取用户信息 @param accessToken @return @throws Exception */ @RequestMapping(value = "/user/token/{accesstoken}", method = RequestMethod.GET) public ResponseVO getUserByToken(@PathVariable(value = "accessToken", required = true) String accessToken,@RequestHeader(value = "userId", required = true) Long userId) throws Exception { if(StringUtils.isEmpty(accessToken)){ return UserResponseCode.buildEnumResponseVO(UserResponseCode.RESPONSE_CODE_REQ_CANNOT_EMPTY, null); } OauthAccessToken oauthAccessToken

上面是一张SSO登录原理图，下面我们来分析一下具体的流程： 首先用户访问系统1受保护的资源，系统1发现未登陆，跳转至SSO认证中心，并将自己的参数传递过去 SSO认证中心发现用户未登录，将用户引导至登录页面 用户输入用户名和密码提交至SSO认证中心 SSO认证中心校验用户信息，创建用户与SSO认证中心之间的会话，称为全局会话，同时创建授权令牌 SSO认证中心带着令牌跳转会最初的请求地址（系统1） 系统1拿到令牌，去SSO认证中心校验令牌是否有效 SSO认证中心校验令牌，返回有效，注册系统1的地址 系统1使用该令牌创建与用户的会话，称为局部会话，返回给用户受保护资源 用户访问系统2受保护的资源 系统2发现用户未登录，跳转至SSO认证中心，并将自己的地址作为参数传递过去 SSO认证中心发现用户已登录，跳转回系统2的地址，并附上令牌 系统2拿到令牌，去SSO认证中心校验令牌是否有效 SSO认证中心校验令牌，返回有效，注册系统2地址 系统2使用该令牌创建与用户的局部会话，返回给用户受保护资源 用户登录成功之后，会与SSO认证中心及各个子系统建立会话，用户与SSO认证中心建立的会话称为全局会话，用户与各个子系统建立的会话称为局部会话，局部会话建立之后，用户访问子系统受保护资源将不再通过SSO认证中心，全局会话与局部会话有如下约束关系： 局部会话存在，全局会话一定存在 全局会话存在

1. CAS 简介 1.1. What is CAS ？ CAS （ Central Authentication Service ） 是 Yale 大学发起的一个企业级的、开源的项目，旨在为 Web 应用系统提供一种可靠的单点登录解决方法（属于 Web SSO ）。 CAS 开始于 2001 年， 并在 2004 年 12 月正式成为 JA-SIG 的一个项目。 1.2. 主要特性 1、 开源的、多协议的 SSO 解决方案； Protocols ： Custom Protocol 、 CAS 、 OAuth 、 OpenID 、 RESTful API 、 SAML1.1 、 SAML2.0 等。 2、 支持多种认证机制： Active Directory 、 JAAS 、 JDBC 、 LDAP 、 X.509 Certificates 等； 3、 安全策略：使用票据（ Ticket ）来实现支持的认证协议； 4、 支持授权：可以决定哪些服务可以请求和验证服务票据（ Service Ticket ）； 5、 提供高可用性：通过把认证过的状态数据存储在 TicketRegistry 组件中，这些组件有很多支持分布式环境的实现， 如： BerkleyDB 、 Default 、 EhcacheTicketRegistry 、 JDBCTicketRegistry 、 JBOSS

最近在研究SSO单点登录技术，其中有一种就是通过js的跨域设置cookie来达到单点登录目的的，下面就已京东商城为例来解释下跨域设置cookie的过程 涉及的关键知识点： 1、 jQuery ajax跨域重定向，要理ajax解跨域重定向，先要了解浏览器对重定向的处理。正常我们请求一个地址，如果server返回302，那么浏览器会再发起 一次重定向后的http请求；用jquery ajax发起一次异步请求，server返回302，如果重定后url的域名跟ajax请求的域名是同一个域名的话，浏览器会再发起一次重定向后的 http请求，请求成功会调用ajax的success函数，如果重定向后url的域名跟ajax请求的域名不是同一个域名，也就是跨域重定向(跨域 redirect)，这个时候浏览器看到返回的response的Location跨域了就不会再发起请求，请求被拦截了，ajax请求失败会调用 error方法 那么如果我们非要做跨域重定向呢？这也是可以实现的，普通的ajax请求不行，我们需要 通过jsonp的方式，而且需要设置crossDomain:true，可以参考https://api.jquery.com/jQuery.ajax / 关于jquery.ajax方法的crossDomain 参数的说明 跨域redirect实例： test.html [html] view

说明： 本文知识网摘，仅限自己加深学习， 原文出处点击 一、准备 　　1、了解http请求及特点 　　2、了解cookie和session 　　3、了解用户登录和注销流程 二、单机用户登录流程 总体流程图实现： 1、http无状态协议 web应用采用browser/server架构，http作为通信协议。http是无状态协议，浏览器的每一次请求，服务器会独立处理，不与之前或之后的请求产生关联，这个过程用下图说明，三次请求/响应对之间没有任何联系 但这也同时意味着，任何用户都能通过浏览器访问服务器资源，如果想保护服务器的某些资源，必须限制浏览器请求；要限制浏览器请求，必须鉴别浏览器请求，响应合法请求，忽略非法请求；要鉴别浏览器请求，必须清楚浏览器请求状态。既然http协议无状态，那就让服务器和浏览器共同维护一个状态吧！这就是会话机制 2、会话机制 浏览器第一次请求服务器，服务器创建一个会话，并将会话的id作为响应的一部分发送给浏览器，浏览器存储会话id，并在后续第二次和第三次请求中带上会话id，服务器取得请求中的会话id就知道是不是同一个用户了，这个过程用下图说明，后续请求与第一次请求产生了关联 服务器在内存中保存会话对象，浏览器怎么保存会话id呢？你可能会想到两种方式 请求参数 cookie 将会话id作为每一个请求的参数，服务器接收请求自然能解析参数获得会话id

一、背景知识： SAML即安全断言标记语言，英文全称是Security Assertion Markup Language。它是一个基于XML的标准，用于在不同的安全域(security domain)之间交换认证和授权数据。在SAML标准定义了身份提供者(identity provider)和服务提供者(service provider)，这两者构成了前面所说的不同的安全域。 SAML是OASIS组织安全服务技术委员会(Security Services Technical Committee)的产品。 SAML（Security Assertion Markup Language）是一个XML框架，也就是一组协议，可以用来传输安全声明。比如，两台远程机器之间要通讯，为了保证安全，我们可以采用加密等措施，也可以采用SAML来传输，传输的数据以XML形式，符合SAML规范，这样我们就可以不要求两台机器采用什么样的系统，只要求能理解SAML规范即可，显然比传统的方式更好。SAML 规范是一组Schema 定义。 可以这么说，在Web Service 领域，schema就是规范，在Java领域，API就是规范。 SAML 作用 SAML 主要包括三个方面： 1.认证申明。表明用户是否已经认证，通常用于单点登录。 2.属性申明。表明 某个Subject 的属性。 3.授权申明。表明

单点登录SSO（Single Sign On）说得简单点就是在一个多系统共存的环境下，用户在一处登录后，就不用在其他系统中登录，也就是用户的一次登录能得到其他所有系统的信任 。单点登录在大型网站里使用得非常频繁，例如像阿里巴巴这样的网站，在网站的背后是成百上千的子系统，用户一次操作或交易可能涉及到几十个子系统的协作，如果每个子系统都需要用户认证，不仅用户会疯掉，各子系统也会为这种重复认证授权的逻辑搞疯掉。实现单点登录说到底就是要解决如何产生和存储那个信任，再就是其他系统如何验证这个信任的有效性，因此要点也就以下两个： 存储信任 验证信任 如果一个系统做到了开头所讲的效果，也就算单点登录，单点登录有不同的实现方式，本文就罗列我开发中所遇见过的实现方式。 以Cookie作为凭证媒介 最简单的单点登录实现方式，是使用cookie作为媒介，存放用户凭证。 用户登录父应用之后，应用返回一个加密的cookie，当用户访问子应用的时候，携带上这个cookie，授权应用解密cookie并进行校验，校验通过则登录当前用户。 不难发现以上方式把信任存储在客户端的Cookie中，这种方式很容易令人质疑： Cookie不安全 不能跨域实现免登 对于第一个问题，通过加密Cookie可以保证安全性，当然这是在源代码不泄露的前提下。如果Cookie的加密算法泄露，攻击者通过伪造Cookie则可以伪造特定用户身份