SpringCloud微服务实战——搭建企业级开发框架（四十）：使用Spring Security OAuth2实现单点登录(SSO)系统

一、单点登录SSO介绍

目前每家企业或者平台都存在不止一套系统，由于历史原因每套系统采购于不同厂商，所以系统间都是相互独立的，都有自己的用户鉴权认证体系，当用户进行登录系统时，不得不记住每套系统的用户名密码，同时，管理员也需要为同一个用户设置多套系统登录账号，这对系统的使用者来说显然是不方便的。我们期望的是如果存在多个系统，只需要登录一次就可以访问多个系统，只需要在其中一个系统执行注销登录操作，则所有的系统都注销登录，无需重复操作，这就是单点登录(Single Sign On 简称SSO)系统实现的功能。
单点登录是系统功能的定义，而实现单点登录功能，目前开源且流行的有CAS和OAuth2两种方式，过去我们用的最多的是CAS，现在随着SpringCloud的流行，更多人选择使用SpringSecurity提供的OAuth2认证授权服务器实现单点登录功能。
OAuth2是一种授权协议的标准，任何人都可以基于这个标准开发Oauth2授权服务器，现在百度开放平台、腾讯开放平台等大部分的开放平台都是基于OAuth2协议实现， OAuth2.0定义了四种授权类型，最新版OAuth2.1协议定义了七种授权类型，其中有两种因安全问题已不再建议使用：

【OAuth2.1 建议使用的五种授权类型】

• Authorization Code 【授权码授权】：用户通过授权服务器重定向URL返回到客户端后，应用程序从URL中获取授权码，并使用授权码请求访问令牌。
• PKCE【Proof Key for Code Exchange 授权码交换证明密钥】：授权码类型的扩展，用于防止CSRF和授权码注入攻击。
• Client Credentials【客户端凭证授权】：直接由客户端使用客户端 ID 和客户端密钥向授权服务器请求访问令牌，无需用户授权，通常用与系统和系统之间的授权。
• Device Code【设备代码授权】：用于无浏览器或输入受限的设备，使用提前获取好的设备代码获取访问令牌。
• Refresh Token【刷新令牌授权】：当访问令牌失效时，可以通过刷新令牌获取访问令牌，不需要用户进行交互。

【OAuth2.1 不建议/禁止使用的两种授权类型】

• Implicit Flow【隐式授权】：隐式授权是以前推荐用于本机应用程序和 JavaScript 应用程序的简化 OAuth 流程，其中访问令牌立即返回，无需额外的授权代码交换步骤。其通过HTTP重定向直接返回访问令牌，存在很大的风险，不建议使用，有些授权服务器直接禁止使用此授权类型。
• Password Grant【密码授权】：客户端通过用户名密码向授权服务器获取访问令牌。因客户端需收集用户名和密码，所以不建议使用，最新的 OAuth 2 安全最佳实践完全不允许密码授权。

【SpringSecurity对OAuth2协议的支持】：

输入验证码查看隐藏内容

扫描二维码关注本站微信公众号 Johngo学长

或者在微信里搜索 Johngo学长

回复 svip 获取验证码

Johngo学长