方案设计
项目简介
sso + oauth(单点登录和开放授权)
知识点
并不是所有系统支持cookie机制,所以需要使用token机制。
方案设计
SSO系统生成一个token,并将用户信息存到Redis中,并设置过期时间,其他系统请求SSO系统进行登录,得到SSO返回的token,写到Cookie中,每次请求时,Cookie都会带上,拦截器得到token,判断是否已经登录
未授权时支持302跳转和401响应
前后端分离方式,这种方式下业务方调用后端的接口时不希望得到302跳转,而是得到一个未授权的结果,在以下两个条件之一满足时:
ContentType为application/json或application/xml
请求携带Header,x-requested-with:XMLHttpRequest
非cookie形式认证
同样在前后端分离场景中,当业务方调用后端接口时不方便传递cookie时(例如涉及到跨域cookie种植的问题),可以使用在请求头添加“access-token”和"client-id"的方式向后端请求接口,该方式等同于携带${clientId}_ssoid(即access-token)的cookie
前后端分离项目
由于cookie存在跨域问题,前后端域名不同的时候,需要由前端来完成种cookie的操作
JWT
会话session
使用全局会话和局部会话,集群存在session共享问题,同时服务端消耗过大。
Oauth2.0
基于oauth协议登录,每次访问向sso-server验证token
优化点
Nginx的rewrite解决方案
当用户长时间不登录,cookie过期,如何使用refresh token 来重新刷新 access token
OAuth2.0授权与单点登录的区别
根据OAuth2.0授权与单点登录的概念,我们可以得知二者至少存在以下几点区别:
从信任角度来看。OAuth2.0授权服务端和第三方客户端不属于一个互相信任的应用群(通常都不是同一个公司提供的服务),第三方客户端的用户不属于OAuth2.0授权服务端的官方用户;而单点登录的服务端和接入的客户端都在一个互相信任的应用群(通常是同一个公司提供的服务),各个子系统的用户属于单点登录服务端的官方用户。
从资源角度来看。OAuth2.0授权主要是让用户自行决定——“我”在OAuth2.0服务提供方的个人资源是否允许第三方应用访问;而单点登录的资源都在客户端这边,单点登录的服务端主要用于登录,以及管理用户在各个子系统的权限信息。
从流程角度来看。OAuth2.0授权的时候,第三方客户端需要拿预先“商量”好的密码去获取Access Token;而单点登录则不需要。
参考资料:
https://juejin.im/post/5cdd42f9518825693f1ebf8d
http://www.ruanyifeng.com/blog/2019/04/github-oauth.html
https://www.zhihu.com/topic/19730683/hot
Last updated