用户认证系统的基本功能是用来证明一个用户是他声称的那个用户,并管理该用户相关的基本信息。用户授权系统的基本功能是授予用户或应用权限访问受保护的资源。OAuth2.0是一个用户授权框架,该框架提供了使客户端应用可以请求用户授权该应用访问该用户受保护的资源的功能。Open ID Connect是基于OAuth2.0框架的用户身份认证协议。UMA是基于OAuth2.0框架的用户间授权协议。本文介绍了上述框架和协议的功能与实现,并整合三者尝试搭建完整的用户认证授权系统,使该系统架构具备功能上的完备性,良好的安全性,灵活的连通性,可扩展性,高性能以及高可用性。获取用户签发的访问令牌，并拿着访问令牌访问资源服务器下受保护的资源，资源服务器在核实令牌有效后允许客户端的访问。授权服务器签发的访问令牌的主流形式是BearerToken[2]，该令牌自身不包含任何客户端和资源服务器可以解析的信息，本文由公司网站弯管机滚圆机滚弧机网站采集转载中国知网整理! http://www.gunyuanji.wang 用户认证授权系统架-电动液压滚圆机滚弧机张家港电动滚圆机钢管滚圆机滚弧机也就是任何获得了BearerToken的客户端均可通过该令牌访问对应的资源，因此基于OAuth2.0的授权系统的所有http请求均需通过TLS加密传输。OAuth2.0框架是单纯的用户授权框架，本身不提供用户认证功能，但可以基于OAuth2.0框架的授权体系去搭建用户认证系统。用户认证授权系统架-电动液压滚圆机滚弧机张家港电动滚圆机钢管滚圆机滚弧机图1OAuth2.0组件视图Fi如图所示，OAuth2.0授权系统的基本组成部分为资源拥有者（用户），客户端应用，授权服务器和资源服务器四部分。一个典型的OAuth2.0授权流程是由客户端应用发起，将用户引导向授权服务器的授权接口，用户在授权服务器上登陆并授权客户端以访问资源服务器中受保护资源的权限，客户端从授权服务器获得访问令牌后持令牌访问资源服务器，资源服务器验证令牌有效[3]后返回正常的资源信息。OAuth2.0授权流程依据客户端性质不同有授权码流程，隐性流程，客户端账号密码流程，用户账号密码流程等，其中授权码流程最为典型，该流程具体时序图如图2所示简述OpenIDConnect是基于OAuth2.0框架的用户认证协议[4]。OpenIDConnect解决的基本问题是允许客户端能够使用用户在授权服务器进行的身份认证作为自身系统的身份认证，以及允许客户端通过简单的Restful风格的网络调用获取用户的基本信息。基于OpenIDConnect的用户认证系统本质上是以OAuth2.0授权服务器作为登陆点的单点登陆系统。基于OpenIDConnect的用户认证系统组件视图如图3所示。如图3?用户认证授权系统架-电动液压滚圆机滚弧机张家港电动滚圆机钢管滚圆机滚弧机本文由公司网站弯管机滚圆机滚弧机网站采集转载中国知网整理! http://www.gunyuanji.wang