强化用户体验与安全性:前端单点登录和统一认证的最佳实践与区别

简介: 互联网发展了这么多年,各种更新皆为了提供更好更安全的上网环境。同时为了提供更好的用户体验、减少用户反复输入用户名和密码的繁琐操作,并确保账户安全,前端领域中的单点登录(SSO)和统一认证(Unified Authentication)成为了重要概念。

单点登录原理

单点登录(Single Sign-On,简称SSO)是一种身份验证机制,允许用户只需一次登录,便能够访问多个相关系统或应用,而无需重复输入用户名和密码。下面将详细解释单点登录的原理:

image.png

  1. 用户访问主应用:用户在客户端通过浏览器或移动应用程序访问主应用,并尝试进行登录操作。
  2. 主应用认证:主应用接收到用户的登录请求后,验证用户提供的用户名和密码是否正确。如果认证成功,则生成一个用于标识用户身份的特定凭证或令牌。
  3. 凭证颁发:主应用将生成的凭证或令牌发送给用户浏览器,通常以Cookie或Token的形式进行存储。

  4. 子应用访问:当用户尝试访问其他子应用时,子应用会检测用户是否已登录。如果用户未登录,则重定向至主应用的登录页面。

  5. 单点登录验证:在重定向至主应用的登录页面后,子应用将用户重定向URL添加一个参数,包含子应用的标识信息。用户浏览器携带凭证或令牌访问主应用。

  6. 凭证验证:主应用接收到带有凭证或令牌的请求后,会解析验证凭证的有效性和合法性。主应用可能会使用加密算法验证凭证的完整性和真实性,确保凭证有效。

  7. 用户身份确认:一旦主应用确认凭证有效,则将用户视为已登录,并生成一个会话或认证令牌。该令牌将作为响应返回给用户浏览器。

  8. 子应用授权:用户浏览器将获取到的会话或认证令牌发送给子应用。子应用接收到令牌后,可以向主应用验证其有效性。主应用确认令牌有效后,子应用即可通过该令牌完成用户身份确认,并授权用户访问其资源。

统一认证原理

统一认证(Unified Authentication)是一种集中管理多个子系统的用户身份验证和授权过程的机制,以实现用户在不同系统中的一致登录和权限管理。下面将详细解释统一认证的原理:
image.png

  1. 用户访问应用系统:用户在客户端通过浏览器或移动应用程序访问某个应用系统,并尝试进行登录操作。
  2. 应用系统认证:应用系统接收到用户的登录请求后,验证用户提供的用户名和密码是否正确。如果认证成功,则生成一个用于标识用户身份的特定凭证或令牌。
  3. 统一认证中心:在统一认证环境中,存在一个专门负责用户身份验证和授权的统一认证中心。应用系统将用户的认证请求转发至统一认证中心进行处理。
  4. 用户身份认证:统一认证中心接收到应用系统的认证请求后,对用户提供的用户名和密码进行认证。认证中心可能会通过与用户存储的身份信息进行比对来验证用户身份的真实性。
  5. 状态维护:一旦用户身份认证成功,统一认证中心会为用户生成一个会话或认证令牌,并记录用户的登录状态。可以使用Cookie、Token或其他方式将会话或认证令牌发送给用户浏览器。
  6. 令牌传递:经过认证后,统一认证中心将用户的会话或认证令牌返回给应用系统。这个令牌是应用系统与统一认证中心之间进行交互的凭证,也是应用系统验证用户身份的依据。
  7. 子系统授权:应用系统接收到统一认证中心返回的会话或认证令牌后,可以向统一认证中心验证令牌的有效性和合法性。一旦验证通过,应用系统即可确认用户身份,并为用户授予相应的权限

两者的区别

单点登录 (SSO) 统一认证 (Unified Authentication)
定义 用户只需登录一次,即可访问多个应用系统。 用户通过一个中心化的认证系统进行身份验证和授权。
流程 用户登录后,通过认证中心颁发的令牌实现免密登录其他应用系统。 用户直接与统一认证中心进行交互,由认证中心验证身份并授权。
身份验证 认证中心负责验证用户身份,并生成令牌用于后续访问应用系统。 统一认证中心负责验证用户身份,并生成令牌用于后续访问应用系统。
应用系统集成 应用系统之间需要与认证中心建立信任关系,以验证令牌的有效性。 应用系统之间需要与统一认证中心建立信任关系,以验证令牌的有效性。
可扩展性 可支持多种不同的认证方式和协议。 可支持多种不同的认证方式和协议。
用户体验 用户只需进行一次登录,无需重复输入用户名和密码。 用户只需进行一次登录,无需重复输入用户名和密码。
隐私保护 用户个人信息在不同应用系统间共享较少,隐私更易得到保护。 用户个人信息在统一认证中心集中管理,需要注意隐私保护。

要实现单点登录,通常会使用统一认证作为基础,将用户的登录状态在不同系统间进行共享。因此,在某些情况下,可以将统一认证看作是实现单点登录的一种方式、

前端如何实现

以下代码均为简单示例,实际情况将更为复杂
要在前端实现单点登录 (SSO),需要利用后端提供的认证中心或身份提供者来处理用户的认证和生成令牌。

实现单点登录

首先我们需要使用axios来进行后端请求。

import React, {
   
    useEffect } from 'react';
import axios from 'axios';

const SSO = () => {
   
   
  useEffect(() => {
   
   
    // 发送登录请求到认证中心
    axios.post('http://认证中心地址/sso/login', {
   
   
      username: '用户名',
      password: '密码'
    })
    .then(response => {
   
   
      // 登录成功,得到认证中心返回的令牌
      const token = response.data.token;

      // 将令牌保存在本地存储或 cookie 中
      localStorage.setItem('token', token);

      // 跳转到其他应用系统
      window.location.href = 'http://其他应用系统地址';
    })
    .catch(error => {
   
   
      // 登录失败,处理错误逻辑
      console.error('登录失败:', error);
    });
  }, []);

  return (
    <div>
      正在进行单点登录...
    </div>
  );
};

export default SSO;

通过 useEffect 钩子函数,在组件加载时发送登录请求到认证中心。认证中心验证用户名和密码,并返回令牌。然后,将令牌保存在本地存储或 cookie 中(根据实际需求),最后跳转到其他应用系统。

实现统一认证

在前端代码中,如果我们想要实现统一认证登录,那么就可能要安装第三方库 oidc-client,它是一个用于客户端实现 OpenID Connect 的 JavaScript 库

npm install oidc-client

然后,在前端代码中引入 oidc-client,并编写统一认证登录的逻辑:

import React, {
   
    useEffect } from 'react';
import {
   
    UserManager } from 'oidc-client';

const Login = () => {
   
   
  useEffect(() => {
   
   
    const userManager = new UserManager({
   
   
      authority: '认证中心地址',
      client_id: '客户端ID',
      redirect_uri: '重定向URI',
      response_type: 'code',
      scope: 'openid profile',
      silent_redirect_uri: '静默刷新URI',
      automaticSilentRenew: true,
      filterProtocolClaims: true
    });

    // 检查是否已经登录,如果已经登录则自动跳转到其他页面
    userManager.getUser().then(user => {
   
   
      if (user) {
   
   
        window.location.href = '其他页面地址';
      }
    });

    // 处理认证回调
    userManager.signinRedirectCallback().then(user => {
   
   
      // 登录成功,跳转到其他页面
      window.location.href = '其他页面地址';
    }).catch(error => {
   
   
      // 登录失败,处理错误逻辑
      console.error('登录失败:', error);
    });
  }, []);

  const handleLogin = () => {
   
   
    // 触发认证中心登录流程
    userManager.signinRedirect();
  };

  return (
    <div>
      <button onClick={
   
   handleLogin}>统一认证登录</button>
    </div>
  );
};

export default Login;

通过 oidc-client 创建一个 UserManager 实例,并根据实际情况配置认证中心的地址、客户端ID、重定向URI等参数。然后,使用 getUser() 方法检查用户是否已经登录,如果已经登录,则自动跳转到其他页面。

当点击 "统一认证登录" 按钮时,调用 signinRedirect() 方法触发认证中心的登录流程,并将用户重定向到认证中心进行身份验证。在认证回调页面中,调用 signinRedirectCallback() 方法处理认证结果,并获取用户信息。如果登录成功,可以将用户重定向到其他页面。

后端如何实现

经过对朋友的“拷打”终于让我逼问出Java是如何实现这两者的功能。

在Java中实现统一认证登录时,可以使用不同的框架和库,如Spring SecurityOAuth 2.0OpenID

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableOAuth2Client;

@SpringBootApplication
@EnableWebSecurity // 启用Web安全功能
@EnableOAuth2Client // 启用OAuth 2.0客户端功能
public class Application {
   
   
  public static void main(String[] args) {
   
   
    SpringApplication.run(Application.class, args);
  }
}

import org.springframework.beans.factory.annotation.Autowired;
// import ...


@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true) // 启用全局方法级安全注解,如@PreAuthorize和@PostAuthorize
public class SecurityConfig extends WebSecurityConfigurerAdapter {
   
   

  @Autowired
  private OAuth2AuthorizedClientService clientService;

  @Override
  protected void configure(HttpSecurity http) throws Exception {
   
   
    http
      .authorizeRequests()
        .antMatchers("/login**", "/error**")
        .permitAll() // 允许/login和/error路径的任意请求
        .anyRequest()
        .authenticated() // 其他路径需要认证后才能访问
      .and()
      .oauth2Login() // 配置OAuth 2.0登录支持
        .loginPage("/login") // 指定自定义的登录页面路径
        .defaultSuccessUrl("/success") // 登录成功后的默认跳转路径
        .failureUrl("/error") // 登录失败后的跳转路径
      .and()
      .logout() // 配置退出登录的处理
        .logoutRequestMatcher(new AntPathRequestMatcher("/logout")) // 指定退出登录的URL匹配规则
        .logoutSuccessUrl("/login") // 退出登录后的跳转路径
        .deleteCookies("JSESSIONID"); // 退出登录时删除指定的cookie
  }

  @Autowired
  public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
   
   
    // 根据需要添加用户认证逻辑,例如从数据库中验证用户信息、集成第三方身份提供者等
  }
}

在上面代码里定义了一个名为SecurityConfig的配置类,继承自WebSecurityConfigurerAdapter,用于配置Spring Security的安全策略。

通过@EnableGlobalMethodSecurity(prePostEnabled = true)注解,启用了全局方法级安全注解,如@PreAuthorize@PostAuthorize,以便在代码中使用注解控制方法的访问权限。

configure(HttpSecurity http)方法中,配置了URL的访问权限。其中,.antMatchers("/login**", "/error**").permitAll()表示允许/login/error路径的任意请求,.anyRequest().authenticated()表示其他路径需要经过认证才能访问。然后配置了OAuth 2.0的登录支持,设置了登录页面路径、默认成功跳转路径和失败跳转路径。最后,我们配置了退出登录的处理,包括退出URL匹配规则、退出成功后的跳转路径和要删除的cookie。

configureGlobal(AuthenticationManagerBuilder auth)方法中,可以根据需要添加用户认证逻辑,例如从数据库中验证用户信息、集成第三方身份提供者等,以实现具体的认证功能。

总结

总结起来,与前端代码相比,Java后端代码中的主要区别在于使用了Spring Security库来处理认证和授权的逻辑,通过配置类来定义URL的访问权限、认证方式等。

本文同步我的技术文档

相关文章
|
13天前
|
前端开发 数据安全/隐私保护
.自定义认证前端页面
.自定义认证前端页面
6 1
.自定义认证前端页面
|
7天前
|
监控 前端开发 JavaScript
前端工程化和传统前端开发的区别是什么?
前端工程化相比传统前端开发,在开发模式、代码组织与管理、构建与部署流程、团队协作、性能优化以及技术选型等方面都有了显著的改进和提升,能够更好地应对现代前端应用开发的复杂性和高要求。
|
1月前
|
前端开发 JavaScript UED
深入了解前端性能优化:提高用户体验的关键
【10月更文挑战第9天】深入了解前端性能优化:提高用户体验的关键
45 5
|
7天前
|
编解码 前端开发 UED
深度揭秘:前端工程师如何玩转响应式设计,打造完美用户体验!
随着移动互联网的普及,响应式设计(RWD)成为前端开发的重要技术,旨在使网站适应不同设备的屏幕尺寸。本文介绍响应式设计的核心概念,如流式布局、弹性图片和CSS3媒体查询,并探讨如何利用这些技术及框架(如Bootstrap)构建美观实用的网站,同时关注性能优化、可访问性和SEO。
18 3
|
18天前
|
前端开发 数据管理 测试技术
前端自动化测试:Jest与Cypress的实战应用与最佳实践
【10月更文挑战第27天】本文介绍了前端自动化测试中Jest和Cypress的实战应用与最佳实践。Jest适合React应用的单元测试和快照测试,Cypress则擅长端到端测试,模拟用户交互。通过结合使用这两种工具,可以有效提升代码质量和开发效率。最佳实践包括单元测试与集成测试结合、快照测试、并行执行、代码覆盖率分析、测试环境管理和测试数据管理。
35 2
|
19天前
|
前端开发 JavaScript 数据可视化
前端自动化测试:Jest与Cypress的实战应用与最佳实践
【10月更文挑战第26天】前端自动化测试在现代软件开发中至关重要,Jest和Cypress分别是单元测试和端到端测试的流行工具。本文通过解答一系列问题,介绍Jest与Cypress的实战应用与最佳实践,帮助开发者提高测试效率和代码质量。
28 2
|
25天前
|
缓存 前端开发 JavaScript
前端性能优化:打造流畅用户体验的秘籍
【10月更文挑战第20天】前端性能优化:打造流畅用户体验的秘籍
34 3
|
25天前
|
监控 前端开发 JavaScript
前端性能优化:打造流畅用户体验的秘籍
【10月更文挑战第20天】前端性能优化:打造流畅用户体验的秘籍
28 2
|
25天前
|
前端开发 JavaScript UED
前端性能优化:打造流畅用户体验的秘诀
【10月更文挑战第20天】前端性能优化:打造流畅用户体验的秘诀
30 0
|
1月前
|
JavaScript 前端开发 应用服务中间件
Vue开发中,在实现单页面应用(SPA)前端路由时的hash模式和history模式的区别及详细介绍
Vue开发中,在实现单页面应用(SPA)前端路由时的hash模式和history模式的区别及详细介绍
26 0