oauth 前后端分离，oauth2前后端分离单点登录原理

OAuth2前后端分离单点登录原理剖析

一、单点登录概述

单点登录（Single Sign - On，SSO）是一种身份验证机制，允许用户使用一组凭据（如用户名和密码）登录到多个相关但独立的系统或应用程序，在前后端分离的架构下，OAuth2成为实现单点登录的流行选择。

二、OAuth2基础概念

1、角色

资源所有者（Resource Owner）：通常是用户，他们拥有要被保护的资源，例如个人信息等。

客户端（Client）：前后端分离架构中的前端应用（如Web前端、移动端应用等），它想要访问资源所有者的受保护资源。

授权服务器（Authorization Server）：负责验证资源所有者的身份并颁发访问令牌，它管理用户的登录认证过程，确定用户是否有权限访问特定资源。

资源服务器（Resource Server）：后端服务，实际存放受保护资源的地方，它根据接收到的访问令牌来决定是否允许客户端访问资源。

2、授权类型

授权码模式（Authorization Code Grant）：这是最常用的模式，适用于前后端分离的情况，流程如下：

- 客户端引导用户到授权服务器的授权端点，请求用户授权访问特定资源。

- 用户登录授权服务器（如果未登录），并授权客户端访问。

- 授权服务器返回授权码给客户端。

- 客户端使用授权码向授权服务器换取访问令牌（Access Token）和可选的刷新令牌（Refresh Token）。

- 客户端使用访问令牌访问资源服务器上的资源。

三、前后端分离架构下的单点登录流程

1、前端引导登录

- 当用户首次访问前端应用时，前端检测到用户未登录（没有有效的访问令牌存储在本地），前端会构建一个授权请求链接，包含客户端标识、重定向URI、请求的权限范围等信息，并将用户重定向到授权服务器的授权端点。

- 在一个Web前端应用中，可能会使用JavaScript代码构建类似https://authorization - server.com/authorize?client_id=CLIENT_ID&redirect_uri=REDIRECT_URI&scope=SCOPE的链接，其中CLIENT_ID是前端应用在授权服务器注册的唯一标识，REDIRECT_URI是授权成功或失败后回调的前端应用地址，SCOPE定义了请求的权限范围。

2、授权服务器认证

- 用户被重定向到授权服务器后，如果未登录，需要输入用户名和密码进行登录，授权服务器验证用户身份，确认用户是否允许客户端访问请求的资源范围。

- 如果用户授权，授权服务器会生成一个授权码，并将用户重定向回前端应用的重定向URI，同时在重定向URI中包含授权码，重定向到https://frontend - app.com/callback?code=AUTHORIZATION_CODE。

3、前端获取访问令牌

- 前端应用从重定向URI中提取授权码，然后使用这个授权码向授权服务器的令牌端点发送请求，同时提供客户端密钥（这是在客户端注册时由授权服务器分配的秘密信息）等必要信息。

- 授权服务器验证授权码、客户端标识和密钥等信息，如果有效，会颁发访问令牌和可能的刷新令牌给前端。

4、前端存储和传递令牌

- 前端应用收到访问令牌后，会将其安全地存储起来，例如使用浏览器的本地存储（Local Storage）或会话存储（Session Storage），之后，当需要访问后端资源服务器的受保护资源时，前端会在请求的头部（如Authorization头部）添加访问令牌，例如Authorization: Bearer ACCESS_TOKEN。

5、后端资源服务器验证

- 后端资源服务器收到前端的请求后，从请求头部提取访问令牌，然后资源服务器会向授权服务器验证这个访问令牌的有效性，如果令牌有效且具有足够的权限，资源服务器会处理请求并返回相应的资源给前端；如果令牌无效，资源服务器会返回相应的错误信息。

6、单点登录的体现

- 在这个过程中，用户只需要在授权服务器登录一次，当用户访问其他与该授权服务器集成的前端 - 后端应用组合时，只要之前颁发的访问令牌仍然有效，就可以直接使用令牌访问资源，无需再次登录，这实现了单点登录的效果，提高了用户体验并简化了身份管理。

四、安全性考虑

1、令牌安全

- 访问令牌和刷新令牌必须安全存储，在前端应用中，要防止本地存储被恶意脚本窃取，可以采用加密存储或使用安全的浏览器API，传输过程中要使用安全的协议（如HTTPS），防止令牌被拦截。

2、授权服务器安全

- 授权服务器要采用强密码策略、安全的用户认证机制（如多因素认证），防止用户账号被暴力破解或窃取，并且要对客户端进行严格的注册和验证，防止恶意客户端获取用户令牌。

3、资源服务器安全

- 资源服务器要对传入的令牌进行严格验证，包括验证签名、有效期、权限范围等，要防止资源服务器自身的漏洞被利用，例如防止SQL注入等攻击，以保护用户的受保护资源。

通过OAuth2在前后端分离架构下实现单点登录，可以有效地管理用户身份认证和资源访问，同时兼顾安全性和用户体验。

标签： #oauth #前后端分离 #单点登录 #原理