# 方案设计 ## 项目简介 sso + oauth(单点登录和开放授权) ## 知识点 并不是所有系统支持cookie机制,所以需要使用token机制。 ## 方案设计 SSO系统生成一个token,并将用户信息存到Redis中,并设置过期时间,其他系统请求SSO系统进行登录,得到SSO返回的token,写到Cookie中,每次请求时,Cookie都会带上,拦截器得到token,判断是否已经登录 ### 未授权时支持302跳转和401响应 前后端分离方式,这种方式下业务方调用后端的接口时不希望得到302跳转,而是得到一个未授权的结果,在以下两个条件之一满足时: 1. ContentType为application/json或application/xml 2. 请求携带Header,x-requested-with:XMLHttpRequest ### 非cookie形式认证 同样在前后端分离场景中,当业务方调用后端接口时不方便传递cookie时(例如涉及到跨域cookie种植的问题),可以使用在请求头添加“access-token”和"client-id"的方式向后端请求接口,该方式等同于携带${clientId}\_ssoid(即access-token)的cookie ``` POST /index.html (or /api/getdata) HTTP/1.1 //适用普通请求和ajax请求 access-token:${ssoid} //放置在Header里,其中ssoid由应用鉴权方负责获取 client-id:$(clientId) //颁发对应ssoid的clientId ``` ### 前后端分离项目 由于cookie存在跨域问题,前后端域名不同的时候,需要由前端来完成种cookie的操作 ### JWT ### 会话session 使用全局会话和局部会话,集群存在session共享问题,同时服务端消耗过大。 ### Oauth2.0 基于oauth协议登录,每次访问向sso-server验证token ## 优化点 1. Nginx的rewrite解决方案 2. 当用户长时间不登录,cookie过期,如何使用refresh token 来重新刷新 access token ## OAuth2.0授权与单点登录的区别 根据OAuth2.0授权与单点登录的概念,我们可以得知二者至少存在以下几点区别: * 从信任角度来看。OAuth2.0授权服务端和第三方客户端不属于一个互相信任的应用群(通常都不是同一个公司提供的服务),第三方客户端的用户不属于OAuth2.0授权服务端的官方用户;而单点登录的服务端和接入的客户端都在一个互相信任的应用群(通常是同一个公司提供的服务),各个子系统的用户属于单点登录服务端的官方用户。 * 从资源角度来看。OAuth2.0授权主要是让用户自行决定——“我”在OAuth2.0服务提供方的个人资源是否允许第三方应用访问;而单点登录的资源都在客户端这边,单点登录的服务端主要用于登录,以及管理用户在各个子系统的权限信息。 * 从流程角度来看。OAuth2.0授权的时候,第三方客户端需要拿预先“商量”好的密码去获取Access Token;而单点登录则不需要。 参考资料: 1. 2. 3.