单点登录(SSO)中 OAuth 2.0、JWT、SAML 的对比与核心差异

最新推荐文章于 2025-06-21 19:03:08 发布
原创 最新推荐文章于 2025-06-21 19:03:08 发布 · 1.3k 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#登录认证 #SSO #OAuth #JWT #SAML #Access Token #Refresh Token

一、基本概念

在这里插入图片描述

1. OAuth 2.0

  • 定位开放授权协议,用于 第三方应用安全获取用户资源权限(如“使用微信登录”)。
  • 核心流程
    1. 用户向资源所有者(如微信)发起授权请求。
    2. 授权服务器返回 访问令牌(Access Token)
    3. 第三方应用通过令牌访问用户资源(如获取微信头像)。
  • 适用场景
    • 第三方应用集成(如社交登录、API 访问)。
    • 单点登录(需结合 OpenID Connect 扩展)。
  • 优点
    • 标准化流程,支持多种授权模式(授权码、密码模式等)。
    • 支持细粒度权限控制(如仅允许读取用户邮箱)。
  • 缺点
    • 需依赖 HTTPS 保证令牌传输安全。
    • 实现复杂度较高(需管理令牌生命周期)。

2. JWT(JSON Web Token)

  • 定位轻量级令牌格式,用于安全传输声明信息(如用户身份)。
  • 结构
    • Header(算法类型)、Payload(用户数据)、Signature(签名验证完整性)。
    • 示例:{ "alg": "HS256", "typ": "JWT" } + { "sub": "xiaolingting", "exp": 1735689600 } + 签名。
  • 适用场景
    • 无状态认证(如前后端分离架构)。
    • 简单 SSO 场景(需配合密钥管理)。
  • 优点
    • 自包含(避免频繁查库),适合分布式系统。
    • 跨语言支持,轻量易扩展。
  • 缺点
    • 令牌无法主动失效(依赖短期有效期或黑名单)。
    • 需自行处理敏感数据加密。

3. SAML(Security Assertion Markup Language)

  • 定位基于 XML 的认证协议,用于 企业级跨域身份联合(如内部系统 SSO)。
  • 核心流程
    1. 用户访问服务提供商(SP),SP 生成 SAML 请求重定向到身份提供商(IdP)。
    2. IdP 认证用户后返回 SAML 断言(包含身份信息)。
    3. SP 解析断言并授权访问。
  • 适用场景
    • 企业内网单点登录(如访问多个内部系统)。
    • 支持浏览器单点登录(依赖 HTTP 重定向和 POST 绑定)。
  • 优点
    • 高安全性(XML 数字签名和加密)。
    • 成熟的企业级解决方案(兼容 ADFS、Okta)。
  • 缺点
    • 协议复杂,XML 解析开销大。
    • 移动端支持较弱(需浏览器环境)。

二、对比总结

维度OAuth 2.0JWTSAML
核心目标第三方授权(资源访问权限)无状态身份声明(信息传输格式)跨域身份认证(企业级 SSO)
数据格式无固定格式(令牌为随机字符串)JSONXML
典型应用社交登录、API 授权(如微信登录)前后端分离认证、简单 SSO企业内网 SSO(如访问多个内部系统)
安全性依赖 HTTPS 和短期令牌需签名和加密敏感数据XML 签名和加密,支持复杂安全策略
性能开销中等(需令牌管理)低(自包含,无需查库)高(XML 解析和签名验证)
开发复杂度高(需实现授权流程)低(标准化库支持)高(XML 处理复杂)

三、 实际应用建议

  1. OAuth 2.0 + JWT
    • 场景:第三方应用授权 + 无状态认证(如 Spring Security OAuth2 + JWT)。
    • 示例:用户通过微信登录后,后端生成 JWT 供前端访问 API。
  2. SAML
    • 场景:企业内网 SSO(如集成 ADFS 或 Okta)。
    • 示例:员工登录企业门户后,直接访问 HR 系统、OA 系统。
  3. 纯 JWT
    • 场景:简单内部系统 SSO(需自行管理密钥和令牌生命周期)。
    • 示例:小型微服务架构中,服务间通过 JWT 传递用户身份。

四、总结

  • OAuth 2.0 是授权协议的首选,适合互联网应用和第三方集成。
  • JWT 是轻量级令牌格式,适合无状态场景,常与 OAuth 配合使用。
  • SAML 是企业级 SSO 的成熟方案,适合复杂安全需求的内部系统。
  • 根据场景选择:开放生态用 OAuth,企业内网用 SAML,轻量级用 JWT
开放平台实现安全的身份认证授权原理实战:再探OAuth2.0SAML的关系
AI天才研究院
11-06 336
作者:禅计算机程序设计艺术 1.背景介绍 目前,随着互联网、智能设备等的普及,人们越来越多地通过网页或APP访问各种服务。基于用户登录、用户注册等合法身份认证功能,这些开放平台将大量的数据交付给第三方应用(包括广告商、电商、金融机构等)。在这种背景下,如何保障开放平台上的用户信息安全,成为一个重要
Spring Security OAuth2 开发指南
dibimian8850的博客
09-27 2581
官方原文:http://projects.spring.io/spring-security-oauth/docs/oauth2.html 翻译及修改补充:Alex Liao. 转载请注明来源:http://www.cnblogs.com/xingxueliao/p/5911292.html Spring OAuth2.0 提供者实现原理: Spring OAuth2.0提供...
OpenID Connect、 OAuthJWT三者关系区别
feng98ren的专栏
10-23 1万+
OpenID Connect:OAuth 2.0协议之上的简单身份层   OpenID Connect是什么?OpenID Connect(目前版本是1.0)OAuth 2.0协议(可参考本人此篇:OAuth 2.0 / RCF6749 协议解读)之上的简单身份层,用 API 进行身份交互的框架,允许客户端根据授权服务器的认证结果最终确认用户的身份,以及获取基本的用户信息;它支持包括Web、...
oauth2 JWT 联系区别
最新发布
qq_37102211的博客
06-21 735
介绍 jwt auoth2.0
OAuth2 JWT - 如何设计安全的 API?
芋艿V
02-04 268
点击上方“芋道源码”,选择“设为星标”管她前浪,还是后浪?能浪的浪,才是好浪!每天 8:55 更新文章,每天掉亿点点头发...源码精品专栏原创 | Java 2020 超神之路,很肝~中...
安全声明标记语言SAML2.0初探
程序那些事
12-13 1万+
SAML的全称是Security Assertion Markup Language, 是由OASIS制定的一套基于XML格式的开放标准,用在身份提供者(IdP)服务提供者 (SP)之间交换身份验证授权数据。 SAML的一个非常重要的应用就是基于Web的单点登录SSO)。 接下来我们一起来看看SAML是怎么工作的。
jwt oauth2区别_OAuth2.0 看这篇就够了
weixin_39847945的博客
12-03 996
随着互联网技术的发展,微服务架构已经成为每个互联网公司的标配。伴随着服务粒度的细化,服务的安全鉴权问题,以及客户端服务之间的认证问题已经成为必不可少的一项工作。说起认证鉴权,那怎么少得了 OAuth 2.0 协议呢?火锅店旁边的照片打印机这个案例想必大家都遇到过,在商场里面或者餐馆门口会看到一些可以打印照片的设备。想要设备打印出照片那么必须传输照片给设备,但是假如此时由于你的手机设备存储有限...
OAuth2.0 实现单点登录
热门推荐
qq15035899256的博客
03-17 3万+
本文是对OAuth2.0的学习,了解了它的4种授权方式,学会了如何搭建验证服务器,使用 postman对四种模式作了接口测试。并且学会了资源服务器实现单点登录的两种方式,也成功解决了远程调用时没有携带 token 的问题。最后也学会了使用 JWT 存储 Token,大大提高了安全性。
单点登录2jwtaAuth2.0区别,二者怎么结合起来工作的,完整流程是什么
C18298182575的博客
02-11 631
OAuth 2.0 可以使用 JWT 作为令牌的实现方式,从而增强安全性灵活性。是两种不同的技术,但它们可以结合使用来实现安全的身份验证授权。结合 JWT OAuth 2.0 可以实现安全的身份验证授权。完整流程包括用户授权、获取授权码、获取访问令牌、访问资源刷新令牌。授权服务器验证刷新令牌,生成新的 JWT 格式的访问令牌并返回。当访问令牌过期时,客户端可以使用刷新令牌请求新的访问令牌。授权服务器验证请求,生成 JWT 格式的访问令牌并返回。用户访问客户端应用,客户端应用需要访问用户的资源。
SSO 单点登录 OAuth2.0 有何区别
qq_43842093的博客
04-07 1350
此方法的缺点是它依赖于浏览器会话状态,对于分布式或者微服务系统而言,可能需要在服务端做会话共享,但是服务端会话共享效率比较低,这不是一个好的方案。在单点登录的上下文中,OAuth 可以用作一个中介,用户在一个“授权服务器”上登录,并获得一个访问令牌,该令牌可以用于访问其他“资源服务器”上的资源。首先,SSO 主要关注用户在多个应用程序服务之间的无缝切换保持登录状态的问题。这种方法通过将登录认证业务系统分离,使用独立的登录中心,实现了在登录中心登录后,所有相关的业务系统都能免登录访问资源。
单点登录JWT、CAS、Oauth2SAML几种技术方案对比分析
11-19
单点登录SSO)是现代企业信息化系统中不可或缺的一部分,它允许用户只需登录一次就能访问多个相互信任的应用系统。本文将对比分析四种常见的SSO技术:JWT、CAS、OAuth2SAML。 1. 基于JWT单点登录JWT(Json...
MaxKey单点登录认证系统是业界领先的IAM-IDaas身份管理认证产品,支持OAuth2.x、OpenID Connect、SAML2.0JWT、CAS、SCIM等SSO标准协议
12-23
该系统支持多种国际标准的单点登录(SSO)协议,包括OAuth2.x、OpenID Connect、SAML2.0JWT、CASSCIM等。单点登录技术是一种用户只需要进行一次身份认证,便可以访问多个应用程序的技术。这种技术提高了用户的访问...
OAuth2.0授权系统实现单点登录
01-13
实现OAuth2授权,并且实现单点登录的小例子,请使用vs2015打开
SSO 单点登录 OAuth2.0 区别
03-22 1113
在微服务时代,用户需要在多个应用程序服务之间进行无缝切换,同时保持其登录状态。我们可以通过单点登录SSO)或者 OAuth2.0 等身份验证授权协议来实现这一目标。
单点登录必知的两个著名协议:SAMLOAuth2
09-29 1731
在本文中,我们将了解单点登录 (SSO) SSO 广泛使用的两种协议,即 SAML OAuth2。这是任何程序员都需要理解的复杂领域之一。什么是单点登录单点登录 (SSO) 是用户可以使用一组凭据登录多个应用程序的过程。考虑到如今网站的数量以及其中大多数都要求进行身份验证,这是一个方便且高效的功能。我们都知道,我们无法为每个应用程序跟踪如此多的凭据集。SSO 来救援了!!!用户无需一遍又一...
JWTOauth2区别联系
Aplumage的专栏
06-10 5817
既然是区别联系,首先就要分别对双方的内容思想有所了解: Oauth2: 是一种安全的授权框架,提供了一套详细的授权机制。用户或应用可以通过公开的或私有的设置,授权第三方应用访问特定资源。它详细描述了系统中不同角色、用户、服务前端应用(比如API),以及客户端(比如网站或移动App)之间怎么实现相互认证Oauth2定义了一组想当复杂的规范。涉及到:Roles角色、Client Types客户端类型、Client Profile客户端描述、Authorization ...
OAuth2.0jwt、spring security之间的区别联系
小趴菜不能喝的博客
10-15 792
介绍OAuth2.0jwt spring security之间的关系
Oauth2.0 + JWT 实现单点登录
m0_37122623的博客
02-25 3822
上一节,我们讲述了Oauth2.0 配合security的使用,配合redis去存token,或者配合Jwt去存token。这篇文章,我们主要来系统的串起来讲一下,从宏观的层面来讲述一下单点登录,并且来实现一个demo。 首先,我们来借助一个真实的案例来切入: 相信大家都登录过码云吧:(https://gitee.com/) 在登录选项里我们选择使用三方账号进行登录(QQ) 然后他就会跳转到下面这个地址: https://graph.qq.com/oauth2.0/show?which=Login&amp
The Difference Between SAML 2.0 and OAuth 2.0
★【World Of Moshow 郑锴】★
06-10 1155
SAML (Security Assertion Mark-up Language) is an umbrella standard that covers federation, identity management and single sign-on (SSO). In contrast, the OAuth (Open Authorisation) is a standard for,...
SSOOAuth2.0关系
03-01
SSO(Single Sign-On)OAuth 2.0都是在网络应用中进行身份验证授权的协议,但是它们的目的实现方式不同。 SSO是一种身份验证机制,它允许用户在一个系统中进行身份验证后,无需再在其他系统中进行身份验证就可以访问这些系统。这意味着用户只需要一组凭据(例如用户名密码),就可以访问多个应用程序,而无需在每个应用程序中重新进行身份验证。SSO是通过在多个系统之间共享认证信息实现的。 OAuth 2.0是一种授权协议,它允许用户授权第三方应用程序访问他们在另一个应用程序中存储的资源。例如,一个用户可以使用他们在Facebook上的凭据授权第三方应用程序访问他们在Facebook上的信息。OAuth 2.0使用访问令牌(access tokens)来代表用户授权访问资源,这些访问令牌通常具有有限的生命周期,以确保安全性。 尽管SSOOAuth 2.0有不同的目的实现方式,但它们可以一起使用。例如,一个应用程序可以使用SSO进行用户身份验证,然后使用OAuth 2.0授权访问其他应用程序的资源。这种组合可以提高用户体验安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值