一、Oauth2
1.OAuth2介绍
OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三方应用访问用户的授权信息,而不需要提供账号密码给第三方应用。
协议的特点:
简单:不管是协议的提供者还是第三方应用的开发者,都很容易理解并使用
安全:没有涉及到用户的秘钥等敏感信息,更加的安全和灵活
开放:任何服务提供商都可以按照OAuth协议进行实现
1.2基本概念
1)Resource Owner:资源所有者,也就是“用户”。
2)Authorization server:授权服务器,服务提供者专门用于处理认证授权的服务器。
3)Resource server:资源服务器,服务提供者用于存储用户生成的资源的服务器。
2.OAuth2设计思路
OAuth在"客户端"与"服务提供商"之间,设置了一个授权层(authorization layer)。"客户端"不饿呢过直接登录“服务提供商”,只能登录授权层,以此来区分用户和客户端。第三方应用登录授权层所用的令牌(token),和用户的密码不同,用户在登录授权时,可以指定授权令牌·的权限和有效期。
OAuth2的执行流程:
A)用户使用第三方客户端,第三方客户端要求用户进行授权
B)用户同意授权
C)客户端得到用户授权后,向授权服务器申请令牌
D)授权服务器进行认证通过后,同意发放令牌
E)客户端使用令牌,向资源服务器申请获取资源
F)资源服务器确认令牌合法后,同意向客户端开放用户授权的资源
2.1客户端授权模式
客户端在得到用户授权后,才能获取令牌,但是不管是哪种授权模式,第三方应用在申请令牌前,都要在系统中进行备案,然后会拿到该客户端的两个重要标识:客户端ID(client ID)和客户端秘钥(client secret)。
1)授权码模式(authorization code)
授权码模式就是第三方应用先获取一个授权码,然后再使用授权码去获取令牌。这种方式安全性是最高的,也是主流使用的方式。
执行流程如下:
A)用户访问客户端,客户端重定向到授权服务器
B)用户进行选择是否授权
C)如果用户授权了,将会重定向到客户端事先指定的Redirection URI,同时附带授权码
D)客户端接受到授权码,会附带一个Redirection URI,向授权服务器申请令牌
E)授权服务器核对授权码后,将向客户端发放access token(访问令牌)和refreshtoken(更新令牌)
2)简化模式(implicit)
该模式通常针对第三方式纯web应用,没有后端。简化模式直接在浏览器中向授权服务器申请令牌,跳过了授权码这一步,所有步骤都是在浏览器完成,因此该模式很不安全。通常令牌的有效期很短,一般就是session的有效器。
执行流程如下:
A)用户访问客户端,客户端重定向到授权服务器
B)用户进行选择是否授权
C)如果用户授权了,将会重定向到客户端事先指定的Redirection URI,并在URI的Hash部分包含了访问令牌
D)浏览器向资源服务器发送请求,但是不包含上一步的Hash值
E)资源服务器返回一个网页,里面包含的代码可以获取Hash值中的令牌
F)浏览器执行脚本,提取令牌,然后浏览器将令牌发送给客户端
3)密码模式(resource owner password credentials)
此模式是将用户的账号密码告诉客户端,但是客户端不得存储密码,然后客户端使用密码获取访问令牌。一般使用在集成系统的子系统中。
执行流程如下:
A)用户向客户端提供账号密码
B)客户端通过用户名和密码发送授权服务器,然后请求令牌
C)授权服务器确认合法后,向客户端提供访问令牌
4)客户端模式(client credentials)
该模式通常用于没有前端的应用,客户端不是以用户的名义获取数据,而是以客户端自身。
执行流程如下:
A)客户端向授权服务器·进行身份认证,并申请访问令牌
B)授权服务器确认无误后,向客户端提供访问令牌
2.2 令牌的更新
令牌是有时限限制的,不能一直使用,如果令牌过期后,还要经历上面这么多步骤,那可能性能、体验上都比较差,而且反复进行验证也是没有必要的。
而关于具体的方式,则是使用刷新令牌,在令牌过期前,通过刷新令牌发送请求,去更新令牌。
3.Spirng Security Oauth2实现单点登录
3.1 什么是单点登录
单点登录(single sign On),简称sso。它的用途在于不管多复杂的应用群,只要登录一次,在用户授权范围内地所有系统,都可以访问。
3.2单点登录的常用方式
1)同域单点
使用场景:所有系统都在一个一级域名的不同二级域名下
核心原理:
a)门户系统设置Cookie的domain为一级域名,这样可以共享门户的Cookie给所有使用该域名的系统
b)将session进行共享,让所有系统都能获取同一个session
c)系统通过门户Cookie中的sessionID读取到session中的登录信息,完成单点登录
2)跨域单点
单点登录之间系统域名不一致,这样就无法共享Cookie,也就获取不到同一个session。此时需要通过单独的授权服务(UAA)来管理统一登录。
核心原理:
a)系统1没有登录,跳转UAA请求授权
b)在UAA系统中输入用户名、密码进行登录操作
c)登录完成后将信息存储在UAA的session中,并写入该域名的Cookie
d)此时系统2也没登录,也要跳转UAA进行授权
e)由于系统1的登录信息存储在UAA的session中,然后读取session中的登录信息,完成单点登录
二、JWT介绍
1.什么是JWT
JSON web token(jwt),它定义了一种简介的、自包含的协议格式,通信双方都是用json传递数据。传递的信息通过数字签名可以被验证。
2.jwt的组成
1)头部(header)
头部描述jwt的基本信息:类型、签名所用算法。
{
"alg": "HS256",
"typ": "JWT"
}
对头部进行base64加密后,就是第一部分的内容。
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
2)载荷(payload)
这一部分就是存放有效信息的地方:
iss: jwt签发者
sub: jwt所面向的用户
aud: 接收jwt的一方
exp: jwt的过期时间,这个过期时间必须要大于签发时间
nbf: 定义在什么时间之前,该jwt都是不可用的.
iat: jwt的签发时间
jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。
3)签名(signature)
这一部分主要是加盐(secret)进行令牌的组合加密
var encodedString = base64UrlEncode(header) + '.' + base64UrlEncode(payload);
// 这三部分+加盐组合起来才是jwt
var signature = HMACSHA256(encodedString, 'fyhh');
secret是保存在服务端的私钥,是不能够泄露出去,也不能存储在客户端。
