一文搞懂双Token、SSO与第三方权限打通,附实战代码
开篇引入
在当今数字化浪潮中,网络应用如雨后春笋般不断涌现,无论是大型企业的内部系统,还是面向大众的互联网平台,安全与便捷的用户认证和权限管理都是至关重要的基石。随着业务的拓展和系统复杂度的提升,传统的认证与权限管理方式逐渐暴露出诸多弊端,无法满足现代应用的严苛需求。
想象一下,当用户需要在多个相互关联的系统之间频繁切换操作时,如果每个系统都要求单独登录认证,那将是多么繁琐且耗时的体验,不仅严重降低用户效率,还可能引发用户对产品的不满和抵触情绪。从企业角度看,这种分散的认证管理方式,使得用户身份信息分散存储,难以进行统一的管控和维护,无疑大大增加了管理成本和安全风险。一旦某个系统的认证环节出现漏洞,就可能像推倒多米诺骨牌一样,引发连锁反应,导致整个企业的信息安全防线岌岌可危。
为了有效解决这些棘手问题,双 Token 认证、SSO 单点登录和第三方权限打通等前沿技术应运而生,它们就像是为现代网络应用量身定制的安全护盾和便捷桥梁。双 Token 认证通过创新的机制,显著提升了认证的安全性和可靠性,为用户数据保驾护航;SSO 单点登录则打破了系统之间的认证壁垒,实现了用户一次登录、处处通行的无缝体验,极大地优化了用户操作流程;第三方权限打通更是进一步拓展了应用的边界,让用户能够借助已有的第三方账号进行快速登录,同时也为企业整合各方资源、丰富应用功能提供了无限可能 。
在接下来的内容中,我们将深入剖析这些技术的核心原理、详细探讨它们的实战应用,并附上具体的代码示例,帮助大家更好地理解和掌握,一同揭开它们在提升用户体验和保障系统安全方面的神秘面纱。
双 Token 认证:安全与体验的平衡
在当今数字化时代,网络安全和用户体验成为了软件开发中至关重要的考量因素。双 Token 认证作为一种先进的认证机制,通过巧妙地运用两种不同类型的 Token,即 Access Token(访问令牌)和 Refresh Token(刷新令牌),成功地在安全性和用户体验之间找到了完美的平衡。这种认证方式不仅能够有效地保护用户的敏感信息,还能为用户提供更加便捷、流畅的使用体验。
(一)概念与原理
双 Token 认证的核心概念可以通过一个生活中的例子来更好地理解。假设你居住在一个高档小区,小区的门禁系统采用了一种双认证机制。当你进入小区时,你需要同时出示一张临时门禁卡(Access Token)和你的身份证(Refresh Token)。临时门禁卡的有效期很短,比如只有 15 分钟,它主要用于你在小区内短暂停留时的身份验证。而身份证则是长期有效的,它的作用是在临时门禁卡过期时,你可以凭借身份证去物业处重新办理一张新的临时门禁卡。
在双 Token 认证中,Access Token 就像是这张临时门禁卡,它是客户端访问受保护资源的凭证。Access Token 的生命周期很短,通常只有几分钟到几小时不等。这意味着,即使 Access Token 在传输过程中被窃取,攻击者能够利用它的时间也非常有限,从而大大降低了安全风险。而 Refresh Token 则类似于身份证,它的唯一作用就是用来获取新的 Access Token。Refresh Token 的生命周期很长,可以是几天甚至几个月。当 Access Token 过期时,客户端可以使用 Refresh Token 向服务器发送请求,服务器验证 Refresh Token 的有效性后,会生成一个新的 Access Token 返回给客户端,整个过程用户无感知,极大地提升了用户体验。
从技术原理的角度来看,双 Token 认证采用了一种分层的安全模型。Access Token 用于对每次请求进行细粒度的权限验证,确保只有合法的请求才能访问受保护的资源。而 Refresh Token 则作为一种长期的信任凭证,用于在 Access Token 过期时,安全地获取新的 Access Token。这种分层设计有效地实现了风险隔离,即使 Access Token 泄露,攻击者也无法长期冒充用户身份进行操作;而如果 Refresh Token 泄露,用户可以通过修改密码等方式来使所有的 Refresh Token 立即失效,从而保障了账户的安全。
(二)技术实现细节
在实际的技术实现中,JWT(JSON Web Token)是一种常用的 Token 格式,广泛应用于双 Token 机制中的 Access Token 实现。JWT Token 由三部分组成,分别是 Header(头部)、Payload(载荷)和 Signature(签名),它们之间用点号(.)分隔。
Header 主要包含令牌的类型(通常是 JWT)和签名算法(如 HMAC SHA256),例如:
json
{
"alg": "HS256",
"typ": "JWT"
}Payload 则包含了声明信息(claims),用于存储用户信息或其他元数据。Claims 可以分为三类:Registered claims(已注册声明),如 iss(签发者)、exp(过期时间)、iat(签发时间);Public claims(公共声明),由开发者定义的公开信息,如用户 ID、角色;Private claims(私有声明),应用内自定义的非公开信息。以下是一个 Payload 的示例:
json
{
"sub": "1234567890",
"name": "John Doe",
"admin": true,
"iat": 1516239022,
"exp": 1516242622
}Signature 用于验证数据完整性,防止数据被篡改。生成方式是将 Header 和 Payload 使用 Base64URL 编码后拼接起来,并用密钥和算法进行签名,例如:
bash
HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret
)最终生成的 JWT 类似于以下格式:
bash
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWUsImlhdCI6MTUxNjIzOTAyMiwiZXhwIjoxNTE2MjQyNjIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c在双 Token 认证中,Access Token 和 Refresh Token 的载荷内容会有所不同。例如,Access Token 的载荷可能包含用户 ID、角色、过期时间等信息,以用于每次请求的权限验证;而 Refresh Token 的载荷则主要包含用户 ID 和过期时间,其唯一目的是在 Access Token 过期时用于获取新的 Access Token。以下是一个 Access Token 载荷的示例:
json
{
"userId": 123,
"role": "user",
"type": "access",
"exp": 1640995200 // 15分钟后过期
}Refresh Token 载荷的示例:
json
{
"userId": 123,
"type": "refresh",
"exp": 1641600000 // 7天后过期
}Token 验证的完整流程如下:
-
首次登录:用户在客户端输入用户名和密码,请求发送至服务器的认证中心。认证中心验证账号密码通过后,同时生成 Access Token 和 Refresh Token。服务器将 Access Token 返回给前端,将 Refresh Token 存入 HttpOnly Cookie 中,以降低泄露风险。
-
日常使用:前端每次请求受保护资源时,都会在请求头中携带 Access Token。服务器接收请求后,验证 Access Token 的签名和有效期。如果验证通过,服务器直接返回请求的资源;如果验证失败,服务器返回 401 未授权响应。
-
Token 续签:当 Access Token 过期时,前端会自动捕获到 401 错误响应,然后触发 Refresh Token 的使用流程。前端向服务器发送携带 Refresh Token 的请求,服务器验证 Refresh Token 的有效性。如果验证通过,服务器生成新的 Access Token 和 Refresh Token(可选,根据具体实现策略,也可以只更新 Access Token),将新的 Access Token 返回给前端,前端更新本地存储的 Access Token,然后重新携带新的 Access Token 发起资源请求,整个过程用户无感知。
-
异常处理:如果 Refresh Token 也过期,或者 Token 被篡改,服务器会返回相应的错误信息。前端接收到错误信息后,通常会清除本地存储的所有令牌,并跳转至登录页面,要求用户重新输入账号密码完成认证。用户主动登出时,服务器会撤销所有 Token,包括 Access Token 和 Refresh Token。
(三)实战代码示例
下面以 Spring Boot + JWT 为例,展示双 Token 认证的实战代码实现。
首先,引入相关依赖:
xml
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt-api</artifactId>
<version>0.11.2</version>
</dependency>
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt-impl</artifactId>
<version>0.11.2</version>
<scope>runtime</scope>
</dependency>
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt-jackson</artifactId>
<version>0.11.2</version>
<scope>runtime</scope>
</dependency>然后,创建一个 JWT 工具类,用于生成和验证 Token:
java
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.stereotype.Component;
import java.util.Date;
@Component
public class JwtUtil {
private static final String SECRET_KEY = "your-secret-key";
private static final long ACCESS_TOKEN_EXPIRATION = 15 * 60 * 1000; // 15分钟
private static final long REFRESH_TOKEN_EXPIRATION = 7 * 24 * 60 * 60 * 1000; // 7天
// 生成Access Token
public String generateAccessToken(String userId, String role) {
Claims claims = Jwts.claims();
claims.put("userId", userId);
claims.put("role", role);
claims.put("type", "access");
return Jwts.builder()
.setClaims(claims)
.setIssuedAt(new Date())
.setExpiration(new Date(System.currentTimeMillis() + ACCESS_TOKEN_EXPIRATION))
.signWith(SignatureAlgorithm.HS256, SECRET_KEY)
.compact();
}
// 生成Refresh Token
public String generateRefreshToken(String userId) {
Claims claims = Jwts.claims();
claims.put("userId", userId);
claims.put("type", "refresh");
return Jwts.builder()
.setClaims(claims)
.setIssuedAt(new Date())
.setExpiration(new Date(System.currentTimeMillis() + REFRESH_TOKEN_EXPIRATION))
.signWith(SignatureAlgorithm.HS256, SECRET_KEY)
.compact();
}
// 验证Token
public Claims validateToken(String token) {
return Jwts.parserBuilder()
.setSigningKey(SECRET_KEY)
.build()
.parseClaimsJws(token)
.getBody();
}
}接下来,实现用户登录接口,用于生成 Token:
java
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.http.HttpStatus;
import org.springframework.http.ResponseEntity;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RestController;
import java.util.HashMap;
import java.util.Map;
@RestController
public class AuthController {
@Autowired
private JwtUtil jwtUtil;
@PostMapping("/login")
public ResponseEntity<Map<String, String>> login(@RequestBody UserCredentials credentials) {
// 这里应实现实际的用户验证逻辑,例如查询数据库
// 此处为示例,假设用户名和密码匹配则验证通过
if ("admin".equals(credentials.getUsername()) && "password".equals(credentials.getPassword())) {
String userId = "1"; // 假设用户ID为1
String role = "admin"; // 假设用户角色为admin
String accessToken = jwtUtil.generateAccessToken(userId, role);
String refreshToken = jwtUtil.generateRefreshToken(userId);
Map<String, String> tokens = new HashMap<>();
tokens.put("accessToken", accessToken);
tokens.put("refreshToken", refreshToken);
return new ResponseEntity<>(tokens, HttpStatus.OK);
} else {
return new ResponseEntity<>(HttpStatus.UNAUTHORIZED);
}
}
}
class UserCredentials {
private String username;
private String password;
// 省略getter和setter方法
}最后,实现刷新 Token 的接口:
java
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.http.HttpStatus;
import org.springframework.http.ResponseEntity;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RestController;
import java.util.HashMap;
import java.util.Map;
@RestController
public class RefreshTokenController {
@Autowired
private JwtUtil jwtUtil;
@PostMapping("/refresh")
public ResponseEntity<Map<String, String>> refreshToken(@RequestBody Map<String, String> request) {
String refreshToken = request.get("refreshToken");
try {
Claims claims = jwtUtil.validateToken(refreshToken);
if ("refresh".equals(claims.get("type"))) {
String userId = (String) claims.get("userId");
String accessToken = jwtUtil.generateAccessToken(userId, "admin"); // 假设角色为admin
Map<String, String> tokens = new HashMap<>();
tokens.put("accessToken", accessToken);
return new ResponseEntity<>(tokens, HttpStatus.OK);
} else {
return new ResponseEntity<>(HttpStatus.UNAUTHORIZED);
}
} catch (Exception e) {
return new ResponseEntity<>(HttpStatus.UNAUTHORIZED);
}
}
}通过以上代码示例,我们展示了如何在 Spring Boot 项目中实现双 Token 认证,包括生成 Access Token 和 Refresh Token,以及使用 Refresh Token 刷新 Access Token 的具体实现。在实际应用中,还需要进一步完善用户验证、错误处理、Token 存储等相关功能,以确保系统的安全性和稳定性。
SSO 单点登录:一次登录,处处通行
(一)核心概念与原理
在互联网时代,用户每天都要与众多的应用系统打交道,从办公时使用的企业内部系统,到生活中的各类社交、电商平台。想象一下,一位员工在一家大型企业工作,公司内部有邮件系统、办公自动化系统、项目管理系统等多个应用。如果没有 SSO,员工每次切换使用不同的系统都需要输入用户名和密码进行登录,这不仅繁琐耗时,还容易因为密码过多而导致遗忘或混淆。
SSO(Single Sign - On)单点登录,正是为了解决这一痛点而诞生的技术。它允许用户使用一组凭据(通常是用户名和密码)进行一次登录,然后能够访问多个相互信任的应用系统,而无需在每个应用中重复登录。其核心原理是通过一个统一的认证中心(也称为身份提供者,Identity Provider,简称 IdP)来验证用户的身份。当用户首次访问某个应用系统时,如果该应用系统检测到用户未登录,它会将用户重定向到认证中心。用户在认证中心输入用户名和密码进行登录,认证中心验证用户的身份信息无误后,会为用户生成一个包含用户身份信息的票据(通常是一个加密的字符串,如 JWT Token 或 SAML Assertion)。这个票据就像是一把万能钥匙,用户在后续访问其他应用系统时,只需携带这个票据,应用系统通过与认证中心交互验证票据的有效性,即可确认用户的身份,从而允许用户访问,无需再次输入登录信息。
以我们日常使用的阿里巴巴旗下的淘宝和天猫为例,当你登录淘宝后,再去访问天猫,无需再次输入账号密码,直接就可以进行浏览商品、下单等操作,这背后就是 SSO 在发挥作用。当你首次登录淘宝时,淘宝将你的登录请求转发到阿里巴巴的认证中心,认证成功后,认证中心会为你生成一个认证票据,并将其返回给淘宝,同时也会在你的浏览器中保存相关的登录状态信息。当你访问天猫时,天猫会检测到你已经在淘宝登录过,通过与认证中心验证你的登录票据,确认你的身份有效后,就允许你直接访问天猫的各项服务。
(二)同域与不同域实现方式
-
同域下的实现方式 :在同域的情况下,利用 cookie 可以设置二级域名的特点来实现单点登录。例如,有三个域名:app1.a.com、app2.a.com、sso.a.com,它们都属于同一顶级域名a.com。当用户在sso.a.com系统登录时,sso.a.com会在服务端的 session 中记录用户的登录状态,同时在浏览器端设置一个域为.a.com的 cookie,该 cookie 中包含用户的唯一标识(如 sessionId)。当用户访问app1.a.com系统时,由于app1.a.com也属于.a.com域,所以它可以读取到这个 cookie,并通过这个 cookie 向sso.a.com发送请求,验证用户的登录状态。如果验证通过,app1.a.com会在自己的服务端为用户创建一个本地 session,这样用户就可以在app1.a.com系统中正常访问,而无需再次登录。同理,当用户访问app2.a.com时,也可以通过相同的方式实现单点登录。这种方式的优点是实现相对简单,符合传统 Web 开发的习惯,服务端对会话状态有完全的控制权,能够即时撤销会话。然而,它也存在一些局限性,比如只能在同一顶级域名下的应用中使用,并且依赖浏览器的 cookie 机制,在移动端等一些环境中可能会受到限制,同时还存在一定的 CSRF(跨站请求伪造)风险,需要额外的防护措施。
-
不同域下的实现方式:不同域下的单点登录通常参考 CAS(Central Authentication Service)官网上的标准流程。具体步骤如下:
-
用户访问 app 系统,app 系统检测到用户未登录,将用户跳转到 SSO 登录系统。
-
用户在 SSO 系统中填写用户名、密码进行认证。认证成功后,SSO 系统将登录状态写入自己的 session,并在浏览器中写入 SSO 域下的 Cookie,同时生成一个 ST(Service Ticket,服务票据)。
-
SSO 系统将用户跳转到 app 系统,并将 ST 作为参数传递给 app 系统。
-
app 系统拿到 ST 后,从后台向 SSO 发送请求,验证 ST 是否有效。
-
如果验证通过,app 系统将登录状态写入自己的 session,并设置 app 域下的 Cookie,完成单点登录。以后用户再访问 app 系统时,由于 app 系统检测到用户已经登录,就无需再次登录。当用户访问另一个不同域的 app2 系统时,同样的流程再次发生。app2 系统检测到用户未登录,将用户重定向到 SSO 系统,由于 SSO 系统已经识别用户已登录,会直接生成 ST 并将用户重定向到 app2 系统,app2 系统验证 ST 有效后,为用户设置登录状态,用户即可正常访问 app2 系统。这种方式通过引入 ST 票据来验证用户身份,解决了不同域之间 cookie 不共享的问题,实现了跨域的单点登录,但实现过程相对复杂,涉及到多个系统之间的交互和通信。
-
(三)代码示例与应用场景
-
代码示例:
- 基于 Cookie - Session 的传统 SSO:在 Java Web 应用中,使用 Servlet 和 JSP 实现基于 Cookie - Session 的 SSO。首先,在 SSO 服务器端,用户登录成功后,创建一个 HttpSession 对象,并将用户信息存储在其中,同时生成一个唯一的 sessionId,并将其设置在一个域为顶级域名的 Cookie 中返回给客户端。例如:
java
// 用户登录成功后
HttpSession session = request.getSession(true);
session.setAttribute("user", user); // user为用户对象
String sessionId = session.getId();
Cookie cookie = new Cookie("SSO_SESSION_ID", sessionId);
cookie.setDomain(".example.com"); // 设置顶级域名
cookie.setPath("/");
cookie.setHttpOnly(true);
cookie.setSecure(true); // 仅通过HTTPS传输
response.addCookie(cookie);在客户端应用中,每次请求时检查是否存在 SSO_SESSION_ID 这个 Cookie,如果存在,则通过这个 Cookie 向 SSO 服务器验证用户的登录状态,如果验证通过,则在本地创建一个 HttpSession 对象,将用户信息存储在其中。例如:
java
Cookie[] cookies = request.getCookies();
String ssoSessionId = null;
if (cookies != null) {
for (Cookie cookie : cookies) {
if ("SSO_SESSION_ID".equals(cookie.getName())) {
ssoSessionId = cookie.getValue();
break;
}
}
}
if (ssoSessionId != null) {
// 向SSO服务器验证用户登录状态
// 假设通过HttpURLConnection发送请求
URL url = new URL("https://sso.example.com/validate?sessionId=" + ssoSessionId);
HttpURLConnection conn = (HttpURLConnection) url.openConnection();
conn.setRequestMethod("GET");
int responseCode = conn.getResponseCode();
if (responseCode == HttpURLConnection.HTTP_OK) {
// 验证成功,创建本地Session
HttpSession localSession = request.getSession(true);
localSession.setAttribute("user", getUserFromSSOResponse(conn.getInputStream()));
}
}- 基于 JWT 的无状态现代 SSO:在 Spring Boot 应用中,使用 JJWT 库实现基于 JWT 的 SSO。用户登录成功后,服务器生成一个 JWT Token,其中包含用户的身份信息(如用户 ID、用户名、角色等)和签名。例如:
java
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.util.Date;
public class JwtUtil {
private static final String SECRET_KEY = "your - secret - key";
private static final long EXPIRATION_TIME = 10 * 60 * 1000; // 10分钟过期
public static String generateToken(String userId, String username, String role) {
Claims claims = Jwts.claims();
claims.put("userId", userId);
claims.put("username", username);
claims.put("role", role);
return Jwts.builder()
.setClaims(claims)
.setIssuedAt(new Date())
.setExpiration(new Date(System.currentTimeMillis() + EXPIRATION_TIME))
.signWith(SignatureAlgorithm.HS256, SECRET_KEY)
.compact();
}
public static Claims validateToken(String token) {
return Jwts.parserBuilder()
.setSigningKey(SECRET_KEY)
.build()
.parseClaimsJws(token)
.getBody();
}
}在客户端,每次请求时将 JWT Token 放在请求头中发送给服务器,服务器通过验证 JWT Token 的签名和有效性来确认用户的身份。例如:
java
@RestController
public class ResourceController {
@GetMapping("/protected")
public ResponseEntity<String> protectedResource(@RequestHeader("Authorization") String token) {
try {
Claims claims = JwtUtil.validateToken(token.replace("Bearer ", ""));
// 验证成功,处理请求
return ResponseEntity.ok("This is a protected resource. User: " + claims.get("username"));
} catch (Exception e) {
// 验证失败,返回未授权
return ResponseEntity.status(HttpStatus.UNAUTHORIZED).body("Unauthorized");
}
}
}-
应用场景:
-
企业内部系统集成:在大型企业中,通常拥有多个不同的业务系统,如 ERP(企业资源计划)、CRM(客户关系管理)、OA(办公自动化)等。通过实施 SSO,员工只需在企业统一的认证平台上登录一次,就可以方便地访问这些不同的系统,大大提高了工作效率,减少了因重复登录带来的时间浪费,同时也便于企业对用户身份和权限进行集中管理,增强了系统的安全性。
-
多子系统平台:对于一些互联网平台,如电商平台,可能包含多个子系统,如用户中心、商品中心、订单中心等。用户在登录用户中心后,希望能够无缝地访问其他子系统,而无需再次登录。SSO 可以实现这一需求,提升用户体验,减少用户流失的可能性。此外,在一些教育机构的在线学习平台中,也常常使用 SSO,学生登录平台后,可以自由访问课程学习系统、作业提交系统、考试系统等多个子系统,为学生提供了更加便捷的学习环境。
-
第三方权限打通:拓展应用边界
在互联网应用日益丰富和多元化的今天,用户常常需要在不同的平台和应用之间切换使用。为了提升用户体验,实现应用之间的互联互通,第三方权限打通成为了一种重要的技术手段。它允许用户使用已有的第三方账号(如微信、QQ、GitHub 等)登录到其他应用中,无需重新注册账号,同时也方便了应用获取用户在第三方平台上的部分信息,以提供更个性化的服务。
(一)OAuth 2.0 协议简介
OAuth 2.0 是目前最流行的用于实现第三方权限打通的授权机制,它允许用户授权第三方应用访问其在某一资源服务器上的资源,而无需将自己的账号密码直接提供给第三方应用,从而有效地保障了用户账号信息的安全。
OAuth 2.0 协议中涉及到四个主要角色:
-
资源所有者(Resource Owner):即用户,拥有受保护的资源,例如用户在微信上的个人信息、朋友圈等。
-
客户端(Client):需要访问用户资源的第三方应用,比如一款需要获取用户微信头像和昵称的美食推荐应用。
-
授权服务器(Authorization Server):由资源所有者信任的实体运营,负责验证用户身份、颁发访问令牌(Access Token)等。在微信登录的场景中,微信的服务器就是授权服务器。
-
资源服务器(Resource Server):存储受保护资源的服务器,它会验证访问令牌的有效性,只有在令牌有效时才会返回被请求的资源。微信存储用户信息的服务器就是资源服务器。
OAuth 2.0 的核心流程如下:
-
用户授权:用户在第三方应用中点击使用第三方账号登录(例如微信登录),第三方应用将用户重定向到授权服务器的授权页面。用户在授权页面输入账号密码进行登录,并选择是否授权第三方应用访问其特定资源,比如同意美食推荐应用获取自己的微信头像和昵称。
-
获取授权码:如果用户同意授权,授权服务器会生成一个授权码(Authorization Code),并将用户重定向回第三方应用事先指定的回调 URL,同时将授权码作为参数传递给第三方应用。
-
获取访问令牌:第三方应用收到授权码后,携带授权码、客户端 ID(Client ID)和客户端密钥(Client Secret)等信息向授权服务器发送请求,以换取访问令牌。授权服务器验证这些信息无误后,会生成一个访问令牌(Access Token)和一个可选的刷新令牌(Refresh Token)返回给第三方应用。访问令牌是第三方应用访问用户资源的凭证,具有一定的有效期;刷新令牌则用于在访问令牌过期时获取新的访问令牌,而无需用户再次进行授权操作。
-
访问资源:第三方应用使用获取到的访问令牌向资源服务器发送请求,请求访问用户授权的资源。资源服务器验证访问令牌的有效性,如果有效,则返回相应的资源给第三方应用。
(二)实现步骤与案例分析
以 Python 语言为例,使用requests - oauthlib库来实现 OAuth 2.0 流程获取授权的代码如下:
python
from requests_oauthlib import OAuth2Session
# 第三方应用在授权服务器注册后获得的客户端ID和客户端密钥
client_id = 'your_client_id'
client_secret = 'your_client_secret'
# 第三方应用事先指定的回调URL
redirect_uri = 'http://localhost:8000/callback'
# 创建OAuth2会话
oauth = OAuth2Session(client_id, redirect_uri=redirect_uri)
# 获取授权URL,引导用户前往授权
authorization_url, state = oauth.authorization_url('https://example.com/oauth/authorize')
print('Please go to %s and authorize access.' % authorization_url)
# 用户在授权页面授权后,回调到redirect_uri,并携带授权码code
authorization_response = input('Enter the full callback URL: ')
# 使用授权码获取访问令牌
token = oauth.fetch_token('https://example.com/oauth/token',
authorization_response=authorization_response,
client_secret=client_secret)
print('Access Token:', token['access_token'])上述代码展示了一个基本的 OAuth 2.0 授权流程。首先创建了一个 OAuth2 会话对象,然后生成授权 URL,引导用户前往授权服务器进行授权。用户授权后,获取回调 URL,从中提取授权码,并使用授权码、客户端 ID 和客户端密钥向授权服务器请求访问令牌。
在实际应用中,第三方权限打通有着广泛的应用场景。例如,许多网站和应用都支持使用微信、QQ 等社交账号进行登录。以微信登录为例,当用户在一个支持微信登录的应用中点击微信登录按钮时,应用会将用户重定向到微信的授权页面。用户在微信授权页面登录自己的微信账号,并同意应用获取自己的基本信息(如头像、昵称、openid 等)。微信服务器验证用户身份并确认授权后,会返回一个授权码给应用。应用使用这个授权码向微信服务器换取访问令牌,之后就可以使用访问令牌获取用户的微信基本信息,并根据这些信息在应用中为用户创建账号或完成登录操作。
再比如,一些企业内部系统可能会与外部的云服务平台进行集成,员工可以使用企业内部的账号登录到云服务平台,无需在云服务平台上重新注册账号。这可以通过在企业内部的认证系统和云服务平台之间实现第三方权限打通来实现。当员工在云服务平台上点击使用企业账号登录时,云服务平台会将员工重定向到企业内部的认证系统。员工在认证系统中输入企业账号密码进行登录,认证系统验证通过后,会与云服务平台进行交互,为员工生成一个在云服务平台上的访问令牌,从而实现员工使用企业账号在云服务平台上的登录和操作 。通过第三方权限打通,不仅提升了用户体验,还加强了不同应用和平台之间的协作与整合,为用户提供了更加便捷和丰富的服务。
实战落地:整合与优化
(一)项目架构设计
在一个实际项目架构中整合双 Token 认证、SSO 单点登录和第三方权限打通,需要全面考虑系统的安全性、可扩展性和性能。以一个大型电商平台为例,其业务涵盖用户管理、商品展示、订单处理、支付结算等多个模块,同时支持 PC 端、移动端等多终端访问,并且与微信、支付宝等第三方平台进行了集成。
在架构设计上,采用微服务架构将各个业务模块拆分为独立的服务,每个服务负责特定的业务功能,通过轻量级的通信机制(如 RESTful API 或消息队列)进行交互。这样的架构设计提高了系统的可扩展性和维护性,每个微服务可以独立进行开发、部署和扩展,不会相互影响。
对于双 Token 认证,将认证服务独立出来作为一个单独的微服务。当用户登录时,认证服务负责生成 Access Token 和 Refresh Token,并将它们返回给客户端。客户端在每次请求时,将 Access Token 放在请求头中发送给资源服务,资源服务通过调用认证服务提供的接口来验证 Access Token 的有效性。如果 Access Token 过期,客户端使用 Refresh Token 向认证服务请求新的 Access Token。
SSO 单点登录的实现,引入一个统一的认证中心。各个微服务在接收到用户请求时,首先检查用户是否已经登录。如果未登录,将用户重定向到认证中心进行登录。认证中心验证用户身份后,为用户生成一个包含用户身份信息的票据,并将其返回给客户端。客户端在后续访问其他微服务时,携带这个票据,微服务通过与认证中心交互验证票据的有效性,确认用户身份。
第三方权限打通方面,各个微服务通过调用第三方平台提供的 API 来实现用户使用第三方账号登录和获取用户在第三方平台上的信息。例如,当用户选择使用微信登录时,微服务将用户重定向到微信的授权页面,用户在微信授权页面登录并同意授权后,微信返回一个授权码给微服务。微服务使用这个授权码向微信服务器换取访问令牌,然后使用访问令牌获取用户的微信基本信息。
为了保障系统的安全性,采用 HTTPS 协议进行通信,防止数据在传输过程中被窃取或篡改。同时,对敏感信息(如用户密码、Access Token 等)进行加密存储和传输。在性能优化方面,采用缓存技术(如 Redis)来缓存用户信息和 Token,减少数据库的访问压力,提高系统的响应速度。并且对频繁访问的接口进行限流和熔断处理,防止因高并发请求导致系统崩溃。
(二)常见问题与解决方案
-
Token 有效期冲突:在双 Token 认证中,Access Token 和 Refresh Token 的有效期需要合理设置。如果 Access Token 有效期过长,会增加安全风险;如果过短,会导致用户频繁刷新 Token,影响用户体验。而在与 SSO 单点登录和第三方权限打通整合时,不同系统之间的 Token 有效期也可能存在冲突。例如,SSO 系统中的票据有效期与双 Token 认证中的 Token 有效期不一致。解决方案是根据业务需求和安全风险评估,合理设置 Token 的有效期。可以采用动态调整 Token 有效期的策略,根据用户的使用频率、风险等级等因素来动态调整 Access Token 和 Refresh Token 的有效期。对于不同系统之间的 Token 有效期冲突问题,可以通过在系统之间进行协商和统一配置来解决,确保各个系统的 Token 有效期能够相互兼容。
-
跨域问题 :在 SSO 单点登录和第三方权限打通中,由于涉及多个不同域名的系统之间的交互,很容易出现跨域问题。例如,用户在一个域名下的应用中登录后,访问另一个域名下的应用时,由于浏览器的同源策略限制,无法直接访问。解决方案是使用 CORS(跨域资源共享)技术,在服务端配置允许跨域的域名列表。例如,在 Spring Boot 应用中,可以通过配置
WebMvcConfigurer来实现 CORS 配置:
java
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
@Configuration
public class CorsConfig implements WebMvcConfigurer {
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/**")
.allowedOrigins("http://example1.com", "http://example2.com")
.allowedMethods("GET", "POST", "PUT", "DELETE")
.allowedHeaders("*")
.allowCredentials(true);
}
}这样配置后,http://example1.com和http://example2.com这两个域名下的应用就可以跨域访问当前服务的接口。 3. 第三方接口兼容性 :在与第三方平台进行权限打通时,可能会遇到第三方接口兼容性问题。例如,第三方平台升级接口后,原有的调用方式不再适用,或者不同第三方平台的接口规范不一致,导致开发和维护成本增加。解决方案是在与第三方平台对接前,充分了解第三方平台的接口文档和更新日志,确保接口调用方式的兼容性。同时,可以采用适配器模式来封装第三方接口调用,将不同第三方平台的接口统一成相同的调用方式,降低代码的耦合度。例如,定义一个统一的第三方接口调用接口ThirdPartyApiAdapter,然后针对不同的第三方平台实现具体的适配器类,如WeChatApiAdapter和QQApiAdapter,在这些适配器类中封装对第三方平台接口的调用逻辑。
(三)性能优化与安全加固
-
性能优化:
- 减少 Token 验证时间:可以采用缓存技术(如 Redis)来缓存 Token 的验证结果。当第一次验证 Token 时,将验证结果缓存起来,后续相同 Token 的验证请求可以直接从缓存中获取验证结果,减少对认证服务的调用次数,从而缩短 Token 验证时间。例如,在 Spring Boot 应用中,可以使用 Spring Cache 来实现 Token 验证结果的缓存:
java
import org.springframework.cache.annotation.Cacheable;
import org.springframework.stereotype.Service;
@Service
public class TokenService {
@Cacheable(value = "tokenValidation", key = "#token")
public boolean validateToken(String token) {
// 实际的Token验证逻辑
//...
}
}- 优化接口调用:对接口进行性能分析,找出性能瓶颈所在,然后进行针对性的优化。例如,优化 SQL 查询语句,避免全表扫描;使用索引来提高查询效率;对频繁调用的接口进行缓存,减少数据库的访问压力。同时,可以采用异步调用和消息队列等技术来提高接口的响应速度。例如,当用户下单后,将订单处理任务发送到消息队列中,由专门的消费者进行异步处理,这样可以避免因订单处理时间过长而导致用户等待,提高用户体验。
-
安全加固:
-
防止 Token 被盗用:使用 HTTPS 协议进行通信,确保 Token 在传输过程中的安全性,防止被窃取。同时,对 Token 进行加密存储,在客户端存储 Token 时,可以采用 HttpOnly 和 Secure 属性来防止 Token 被 JavaScript 窃取和在非安全网络环境下传输。在服务端,对 Token 进行严格的验证和校验,防止 Token 被伪造或篡改。例如,在验证 JWT Token 时,不仅要验证签名的有效性,还要验证 Token 的过期时间、签发者等信息。
-
防范 CSRF 攻击:采用 CSRF Token 机制来防范 CSRF 攻击。在用户登录成功后,服务器生成一个 CSRF Token,并将其存储在用户的 Session 中,同时将 CSRF Token 返回给客户端。客户端在每次请求时,将 CSRF Token 放在请求头中发送给服务器,服务器在接收到请求后,验证请求头中的 CSRF Token 与 Session 中的 CSRF Token 是否一致,如果不一致,则拒绝请求。例如,在 Spring Boot 应用中,可以使用 Spring Security 来实现 CSRF 防护:
-
java
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.web.csrf.CsrfFilter;
import org.springframework.web.filter.CharacterEncodingFilter;
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.csrf()
.csrfTokenRepository(csrfTokenRepository())
.and()
.addFilterAfter(new CharacterEncodingFilter("UTF-8", true), CsrfFilter.class)
.authorizeRequests()
.antMatchers("/login", "/register").permitAll()
.anyRequest().authenticated();
}
@Bean
public CsrfTokenRepository csrfTokenRepository() {
HttpSessionCsrfTokenRepository repository = new HttpSessionCsrfTokenRepository();
repository.setHeaderName("X-CSRF-TOKEN");
return repository;
}
}这样配置后,Spring Security 会自动为每个请求生成和验证 CSRF Token,从而有效地防范 CSRF 攻击。