一、概述

SSO是Single Sign On的縮寫，OAuth是Open Authority的縮寫，這兩者都是使用令牌的方式來代替用戶密碼訪問應用。流程上來說他們非常相似，但概念上又十分不同。SSO大家應該比較熟悉，它將登錄認證和業務系統分離，使用獨立的登錄中心，實現了在登錄中心登錄后，所有相關的業務系統都能免登錄訪問資源。

OAuth2.0原理可能比較陌生，但平時用的卻很多，比如訪問某網站想留言又不想注冊時使用了微信授權。以上兩者，你在業務系統中都沒有賬號和密碼，賬號密碼是存放在登錄中心或微信服務器中的，這就是所謂的使用令牌代替賬號密碼訪問應用。

二、SSO

兩者有很多相似之處，下面我們來解釋一下這個過程。先來講解SSO，通過SSO對比OAuth2.0，才比較好理解OAuth2.0的原理。SSO的實現有很多框架，比如CAS框架，以下是CAS框架的官方流程圖。特別注意：SSO是一種思想，而CAS只是實現這種思想的一種框架而已

上面的流程大概為：

• 用戶輸入網址進入業務系統Protected App，系統發現用戶未登錄，將用戶重定向到單點登錄系統CAS Server，并帶上自身地址service參數
• 用戶瀏覽器重定向到單點登錄系統，系統檢查該用戶是否登錄，這是SSO(這里是CAS)系統的第一個接口，該接口如果用戶未登錄，則將用戶重定向到登錄界面，如果已登錄，則設置全局session，并重定向到業務系統
• 用戶填寫密碼后提交登錄，注意此時的登錄界面是SSO系統提供的，只有SSO系統保存了用戶的密碼，
• SSO系統驗證密碼是否正確，若正確則重定向到業務系統，并帶上SSO系統的簽發的ticket
• 瀏覽器重定向到業務系統的登錄接口，這個登錄接口是不需要密碼的，而是帶上SSO的ticket，業務系統拿著ticket請求SSO系統，獲取用戶信息。并設置局部session，表示登錄成功返回給瀏覽器sessionId(tomcat中叫JSESSIONID)
• 之后所有的交互用sessionId與業務系統交互即可

最常見的例子是，我們打開淘寶APP，首頁就會有天貓、聚劃算等服務的鏈接，當你點擊以后就直接跳過去了，并沒有讓你再登錄一次

三、OAuth2.0

OAuth2.0有多種模式，這里講的是OAuth2.0授權碼模式，OAuth2.0的流程跟SSO差不多，在OAuth2中，有授權服務器、資源服務器、客戶端這樣幾個角色，當我們用它來實現SSO的時候是不需要資源服務器這個角色的，有授權服務器和客戶端就夠了。

授權服務器當然是用來做認證的，客戶端就是各個應用系統，我們只需要登錄成功后拿到用戶信息以及用戶所擁有的權限即可

• 用戶在某網站上點擊使用微信授權，這里的某網站就類似業務系統，微信授權服務器就類似單點登錄系統
• 之后微信授權服務器返回一個確認授權頁面，類似登錄界面，這個頁面當然是微信的而不是業務系統的
• 用戶確認授權，類似填寫了賬號和密碼，提交后微信鑒權并返回一個ticket，并重定向業務系統。
• 業務系統帶上ticket訪問微信服務器，微信服務器返回正式的token，業務系統就可以使用token獲取用戶信息了

簡介一下OAuth2.0的四種模式：

授權碼（authorization-code）

授權碼（authorization code）方式，指的是第三方應用先申請一個授權碼，然后再用該碼獲取令牌。這種方式是最常用的流程，安全性也最高，它適用于那些有后端的 Web 應用。授權碼通過前端傳送，令牌則是儲存在后端，而且所有與資源服務器的通信都在后端完成。這樣的前后端分離，可以避免令牌泄漏。

隱藏式（implicit）

有些 Web 應用是純前端應用，沒有后端。這時就不能用上面的方式了，必須將令牌儲存在前端。RFC 6749 就規定了第二種方式，允許直接向前端頒發令牌。這種方式沒有授權碼這個中間步驟，所以稱為（授權碼）“隱藏式”（implicit）

密碼式（password）

如果你高度信任某個應用，RFC 6749 也允許用戶把用戶名和密碼，直接告訴該應用。該應用就使用你的密碼，申請令牌，這種方式稱為"密碼式"（password）。

客戶端憑證（client credentials）

最后一種方式是憑證式（client credentials），適用于沒有前端的命令行應用，即在命令行下請求令牌。

簡單流程

四、說一下幾個名詞的區別

首先，SSO 是一種思想，或者說是一種解決方案，是抽象的，我們要做的就是按照它的這種思想去實現它

其次，OAuth2 是用來允許用戶授權第三方應用訪問他在另一個服務器上的資源的一種協議，它不是用來做單點登錄的，但我們可以利用它來實現單點登錄。在本例實現SSO的過程中，受保護的資源就是用戶的信息（包括，用戶的基本信息，以及用戶所具有的權限），而我們想要訪問這這一資源就需要用戶登錄并授權，OAuth2服務端負責令牌的發放等操作，這令牌的生成我們采用JWT，也就是說JWT是用來承載用戶的Access_Token的

最后，Spring Security、Shiro 是用于安全訪問的，用來做訪問權限控制，都是一個用Java寫的框架。