单点登录(SSO),英文全称为 Single Sign On。 SSO 是指在多个应用系统中,用户只需要登录一次,就可以访问所有相互信任的应用系统。SSO 服务用于解决同一公司不同业务应用之间的身份认证问题,只需要登录一次,即可访问所有添加的应用。
单点登录的前提条件要做用户统一身份管理,即统一用户ID。比如阿里云应用身份服务IDaaS(英文名:Alibaba Cloud Identity as a Service,简称IDaaS)是阿里云为企业用户提供的一套集中式身份、权限、应用管理服务。市场上有很多类似的统一身份管理产品叫5A,提供集统一账户管理(Account)、统一身份认证(Authentication)、统一授权管理(Authorization)、统一应用管理(Application)、统一审计管理(Audit)。
本文重点介绍统一身份认证(Authentication),有的也叫单点登录SSO,目前主流的SSO技术有JWT、CAS、Oauth2、SAML等。
一、基于JWT单点登录
Json web token ( JWT ), 是一种用于双方之间传递安全信息的简洁的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的方法用于通信双方之间以 Json 对象的形式安全的传递信息,该 token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。
业务系统可以快速的接入IDaaS(身份服务中心)平台,从而完成单点登录。并且JWT支持从SP(Service Provider 业务系统)发起单点登录请求,跳转到IDaaS平台,进行登录,再跳转回业务系统完成JWT令牌认证和业务系统的登录。同时, 也支持从IDaaS平台直接发起单点登录请求,传递JWT令牌后, 在业务系统进行验证,完成登录。两种方式主要共同点在于整个JWT的认证流程(后半截)是相同的,都需要业务系统开发JWT令牌验证和解析的接口,并且需要根据解析出来的用户子账户信息,判断用户是否为该业务系统用户。
以下是基于JWT进行单点登录SSO的原理:
图中:IDaaS指用户身份认证中心,SP指业务系统。
上述时序图阐述了基于JWT发起SSO登录请求时的基本流程,该流程主要分为以下6个步骤:
1)用户通过浏览器访问 IdaaS(户身份认证中心)应用服务 。
2)浏览器向IDaaS发起单点登录请求。
3)IDaaS 生成 JWT token 令牌发送到业务系统。
4)SP(业务系统)获取到 token 令牌,用提供的插件或方法解析验证 JWT token 令牌,解析成功获取到用户信息并验证用户是否存在于业务系统中。
5)业务应用服务器创建自己系统的请求会话,然后跳转到指定路径。
6)浏览器显示应用页面,完成sso登录。
验证通过:业务系统重定向到用户首页,或指定的二级页面。
验证失败:业务系统拒绝登录并页面提示错误信息。
参考:JWT 模板使用指南 - 应用身份服务 - 阿里云
二、基于CAS单点登录
CAS (Central Authentication Service)中心授权服务,是 耶鲁大学(Yale University)发起的一个开源项目,旨在为 Web 应用系统提供一种可靠的单点登录方法。
使用CAS 标准时,首先是由 CAS Client 发起, CAS Client 会重定向到 CAS Server进行登录,由 CAS Server 进行账户校验且多个 CAS Client 之间可以共享登录的 session ,Server 和 Client 是一对多的关系;
从结构上看,CAS 包含两个部分: CAS Server 和 CAS Client 。 CAS Server 需要独立部署,主要负责对用户的认证工作; CAS Client 负责处理对客户端受保护资源的访问请求,需要登录时,重定向到 CAS Server。
下图是标准 CAS 最基本的协议过程:
CAS Client 与受保护的客户端应用部署在一起,以 Filter 方式保护受保护的资源。对于访问受保护资源的每个 Web 请求, CAS Client 会分析该请求的 Http 请求中是否包含 Service Ticket。如果没有,则说明当前用户尚未登录,于是将请求重定向到指定好的 CAS Server 登录地址,并传递 Service (也就是要访问的目的资源地址),以便登录成功过后转回该地址。
用户在上图流程中的第 3 步输入认证信息,如果登录成功,CAS Server 随机产生一个相当长度、唯一、不可伪造的 Service Ticket,并缓存以待将来验证。之后系统自动重定向到 Service 所在地址,并为客户端浏览器设置一个 Ticket Granted Cookie(TGC),CAS Client 在拿到 Service 和新产生的 Ticket 过后,在第 5,6 步中与 CAS Server 进行身份核实,以确保 Service Ticket 的合法性。
在 IDaaS 中, CAS (标准)应用模板实现了标准的 CAS 流程。它充当一个 CAS Server的角色。当 CAS Cient 决定使用IDaaS作为 CAS Server 时。在登录认证时需要使用 IDaaS 系统中公司的主账号,密码进行认证。
参考:CAS - 应用身份服务 - 阿里云
三、基于OAuth 2.0单点登录
OAuth 2.0的草案是在2010年5月初在IETF发布的。OAuth2是一个授权协议, 主要用来作为API的保护, 我们称之为STS(安全令牌服务, Security Token Service)。 但是在某些情况下, 也可以被用来实现WEB SSO单点登录。一般的流程是用户把发起页面的URL和state参数关联上, 并保存在SP(业务系统)本地,用户登录后, 可以获取一个Code, 利用Code拿到AT(Access Token) 后, 可以利用这个AT获取用户信息userinfo, 进而从state 中, 获取到对应的原始URL,并跳转到这个URL, 从而实现登录到一个业务应用SP的效果。 本文档详细描述了这个SSO过程。
图中:IDP指身份提供者,SP指业务系统。
参考:OAuth2.0模板使用指南 - 应用身份服务 - 阿里云
OAuth 2.0 的一个简单解释 - 阮一峰的网络日志
OAuth 2.0 的四种方式 - 阮一峰的网络日志
四、基于SAML协议单点登录
在SAML协议出现之前,传统Web应用系统单点登录大都通过Cookie来实现,但由于浏览器的安全限制,只有同一个域名下的系统才可以共享Cookie,在云计算大行其道的今天, 该方案无法解决像SaaS这种跨多个域名系统之间的认证和授权问题,于是SAML协议应运而生。
SAML(Security Assertion Markup Language 安全断言标记语言)是一个基于XML的开源标准数据格式,为在安全域间交换身份认证和授权数据,尤其是在IDP(身份提供者)和SP(业务系统)之间。SAML是OASIS(Organization for the Advancement of Structured Information Standards 安全服务技术委员会)制定的标准,始于2001年,其最新主要版本SAML 2.0于2005年发布。
作为一种流行的SSO协议, SAML同时支持IDP发起和SP发起, 也就是可以在登录门户后,跳转到任意一个应用, 也可以从一个应用发起,跳转到IDP, 登录认证后,再跳转回这个应用, 继续SSO。 二者都是SSO, 流程的前半部分参数不同, 后半部分是很相似的。
图中:IDP指身份提供者,SP指业务系统。
用户请求SP资源,SP生成SAML请求,IDP接收并解析SAML请求并进行用户认证后返回SAML响应,SP接收并解析SAML响应后,提起其中的令牌Assertion, 提供被请求的资源给用户使用。
参考:SAML 模板使用指南 - 应用身份服务 - 阿里云
「干货」浅析SAML标准协议(一)
单点登录技术如何选择
JWT、CAS、Oauth2、SAML这几种单点登录方式,如何选择?主要从适用场景和集成难易程度两个方面考虑。从开发集成难易程度方面考虑,JWT最简单,CAS次之,Oauth2稍复杂,SAML最复杂。阿里云IDaaS推荐优先使用JWT方式,集成简单,业务系统改造较少,尤其适用于前后端分离架构下已经使用了JWT技术的系统。Oauth2是目前互联网最流行的单点登录技术,比如微信平台、QQ平台、钉钉平台等,但在企业应用方面,Oauth2使用远没有CAS多,尤其是企业存在大量的存量系统,有的是前后端分离架构,基于token认证鉴权,有的是传统SOA架构,基于中间件session会话认证鉴权,所以在企业内部改造Oauth2的成本比较高。SAML是协议最复杂的一种SSO,安全性最好,仅仅适用于web,开发集成难度高,一般企业内部的应用系统不推荐使用。总之,在可满足业务需求的情况下,优先选择集成简单的单点登录SSO技术,推荐顺序为JWT、CAS、Oauth2、SAML。
————————————————
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
原文链接:https://blog.csdn.net/wxz258/article/details/125832434
