基于 OAuth2.0 协议的单点登录系统方案设计
一、什么是单点登录?
单点登录(Single Sign On),简称为 SSO,是比较流行的企业业务整合的解决方案之一。SSO 的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。---- 《百度百科》
换而言之,在公司业务逐渐壮大的过程中,开发了很多的子系统。每个子系统都有自己的用户的登录、注册模块,为了能够在公司内部统一用户登录授权功能,诞生了一个统一的用户登录认证系统,这个系统就可以称之为单点登录系统。
二、什么是 OAuth2.0 协议?
OAuth 是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。主要是用于在第三方平台上进行的用户授权,常见的一些场景,例如:QQ、微博、微信的授权登录。第三方开发平台的授权接入,例如:Shopify、速卖通、亚马逊等。
三、单点登录解决什么问题?
假设,当我们的 ERP 系统功能模块越来越多的时候,后期可能会拆分出产品库存系统、财务系统、订单系统、工单系统等,那是不是意味着每个系统都需要开发一套登录注册功能呢?如果每个系统有一套自己的用户体系,就会出现用户在使用的时候,需要重复注册、重复登录、重复记住对应的账号密码,一旦子系统多达十几个的时候,对于用户来说这种情况,显然是不能接受的。
其次对应我们开发人员来说,很显然也不可能每个系统开发一套相同的功能,因此我们需要有一套能够统一登录、注册、用户管理、权限等功能的系统。那么这样一套系统就是,今天要分享的单点登录系统。单点登录系统,能够让我们只需拥有一个账号,便可以访问任意的子系统,类似于我们拥有了一张通行证,行便天下,畅通无阻。
四、单点登录交互时序图
五、案例演示
1、授权界面
2、系统地址
SSO 系统:http://www.sso.com/
A 业务系统:http://www.a.com
B 业务系统:http://www.b.com
3、关键代码
六、Ouath 2.0 授权模式的参数说明
1、客户端传递的参数
| 参数 | 描述 |
|---|---|
| response_type | 表示授权类型,必选项,此处的值固定为"code" |
| client_id | 表示客户端的ID,必选项 |
| redirect_uri | 表示重定向URL,可选项 |
| scope | 表示申请的权限范围,可选项 |
| state | 表示客户端的当前状态,可以指定任意值,认证服务器会原封不动地返回这个值。 |
2、授权系统回调给客户端的参数
| 参数 | 描述 |
|---|---|
| code | 表示授权码,必选项。 |
| state | 如果客户端的请求中包含这个参数,认证服务器的回应也必须一模一样包含这个参数。 |
3、客户端向授权系统申请 Token 所需参数
| 参数 | 描述 |
|---|---|
| grant_type | 表示使用的授权模式,必选项,此处的值固定为"authorization_code"。 |
| code | 表示获得的授权码,必选项。 |
| redirect_uri | 表示重定向URI,必选项,且必须与上面中的该参数值保持一致。 |
| client_id | 表示客户端ID,必选项。 |
| client_secret | 表示客户端密钥,必选项。 |
4、授权系统返回给客户端的参数
| 参数 | 描述 |
|---|---|
| access_token | 表示访问令牌,必选项。 |
| token_type | 表示令牌类型,该值大小写不敏感,必选项,可以是bearer类型或mac类型。 |
| expires_in | 表示过期时间,单位为秒。如果省略该参数,必须其他方式设置过期时间。 |
| refresh_token | 表示更新令牌,用来获取下一次的访问令牌,可选项。 |
| scope | 表示权限范围,如果与客户端申请的范围一致,此项可省略。 |
七、总结
单点登录系统旨在打通各个子系统的用户体系,实现多场景下的免登。同时,企业内部也统一了账号体系,实现了用户数据的聚合。减少了用户的反复登录,提升了产品的体验。从系统的层面,减少了系统的重复建设,降低了研发成本。从安全层面,统一管理用户账号,提升了用户账号及权限的安全性。
本次分享的主要目的,旨在让大家了解单点登录的思想,以及 Ouath2.0 协议在实际场景中的应用。单点登录只是一种解决问题的手段或技术解决方案,Oauth2.0 协议是一套授权的标准。那么单点登录系统,就是这两者的结合。附代码 https://github.com/yxhsea/single-point.git
