本文目录导读:
《JWT单点登录流程全解析》
图片来源于网络,如有侵权联系删除
单点登录概述
单点登录(Single Sign - On,SSO)是一种身份验证机制,允许用户使用一组凭据(如用户名和密码)登录到多个相关的应用程序或系统,JWT(JSON Web Token)在单点登录场景中发挥着重要作用,它提供了一种安全、紧凑且自包含的方式来在各方之间传输信息。
JWT单点登录流程详细步骤
(一)用户首次登录
1、用户访问应用A
- 用户首先请求访问应用A,应用A检测到用户未登录,将用户重定向到单点登录服务器(SSO Server),重定向的URL通常包含应用A的标识(如appId),以便SSO Server在登录成功后知道将用户重定向回哪里。
2、SSO Server认证
- 用户到达SSO Server后,会看到登录页面,用户输入用户名和密码等凭据,SSO Server对用户输入的凭据进行验证,这可能涉及到查询用户数据库,检查用户名是否存在以及密码是否正确等操作。
3、JWT生成
- 如果用户凭据验证通过,SSO Server会生成一个JWT,JWT包含了用户的身份信息,如用户ID、用户名、角色等,以及一些元数据,如令牌的过期时间(exp)、签发时间(iat)等,JWT是使用一个密钥(在服务器端安全保存)进行签名的,以确保其完整性和不可篡改性。
4、重定向回应用A
- SSO Server将生成的JWT附加在重定向回应用A的URL中,应用A收到带有JWT的重定向请求后,会验证JWT的签名(使用SSO Server公开的公钥,如果是对称密钥则使用相同的密钥),如果签名验证通过,应用A就认为用户已经成功登录,并从JWT中提取用户身份信息,创建本地的用户会话,允许用户访问应用A的受保护资源。
图片来源于网络,如有侵权联系删除
(二)用户访问其他应用(应用B)
1、访问应用B
- 当用户已经登录应用A并且想要访问应用B时,用户直接请求访问应用B。
2、应用B验证JWT
- 应用B检测到用户未登录(在本应用内),但是发现用户带来了从SSO Server获取的JWT(这可能是通过浏览器的Cookie或者其他方式传递的,例如在请求头中),应用B像应用A一样,验证JWT的签名和有效期等信息。
3、用户登录应用B
- 如果JWT验证通过,应用B从JWT中提取用户身份信息,然后创建自己的本地用户会话,允许用户访问应用B的受保护资源,这样,用户无需再次输入用户名和密码就可以登录应用B,实现了单点登录的效果。
(三)JWT的更新与注销
1、JWT更新
- 当JWT接近过期时,应用A或者应用B可以检测到(通过检查JWT中的exp字段),如果需要,应用可以请求SSO Server重新颁发一个新的JWT,这可能涉及到应用向SSO Server发送一个包含旧JWT(用于验证身份)的请求,SSO Server验证旧JWT后,重新生成一个新的JWT并返回给应用。
图片来源于网络,如有侵权联系删除
2、注销
- 当用户想要注销时,用户可以在任何一个已登录的应用(如应用A)中发起注销请求,应用A会通知SSO Server用户要注销,SSO Server会将用户的登录状态标记为已注销,并可能使相关的JWT失效(将JWT加入到一个黑名单中),当用户再访问其他应用(如应用B)时,应用B验证JWT时发现JWT已被标记为无效,就会要求用户重新登录。
JWT单点登录的优势
1、安全性
- JWT的签名机制确保了令牌的完整性,防止数据被篡改,由于JWT是自包含的,不需要在服务器端存储会话信息(与传统的基于会话的登录方式不同),减少了服务器端的安全风险,如会话劫持等。
2、跨平台和跨语言支持
- JSON是一种广泛使用的轻量级数据格式,几乎所有的编程语言都可以方便地解析和生成JWT,这使得JWT单点登录可以轻松地应用于各种不同的平台和技术栈,无论是Web应用、移动应用还是其他类型的客户端。
3、高效性
- 在单点登录场景中,JWT的验证过程相对简单快速,应用只需要验证JWT的签名和有效期等信息,不需要像传统方式那样频繁地与服务器进行交互来验证用户身份,减少了网络开销,提高了用户体验。
JWT单点登录流程通过简洁而安全的方式实现了多应用的单点登录功能,在现代的分布式系统和多应用环境中具有重要的应用价值。
评论列表