后端八股

Oauth

Oauth 是一个开放的授权标准，同意第三方应用获取某些数据，例如头像，昵称。生成一个 token,第三方应用可以使用这个 token 来代替密码。

Oauth 有四种获得令牌的方式：

1. 授权码

https://b.com/oauth/authorize?
  response_type=code&
  client_id=CLIENT_ID&
  redirect_uri=CALLBACK_URL&
  scope=read

1. 用户跳转到一个链接，链接附上clientid,回调地址，scope权限。

2. 用户登陆，授权，接着会带着授权码回调

3. 后端使用授权码，clientid,client secret和回调地址

4. B网站会往回调地址发一段json： 里面有token,过期时间，refresh token,还有一些用户的信息。

5. 隐藏式

   1. 用户点击链接，直接请求 token
   2. 授权后带着 token 返回回调地址 https://a.com/callback#token=ACCESS_TOKEN 令牌的位置是 URL 锚点（fragment），而不是查询字符串（querystring），这是因为 OAuth 2.0 允许跳转网址是 HTTP 协议，因此存在"中间人攻击"的风险，而浏览器跳转时，锚点不会发到服务器，就减少了泄漏令牌的风险。 不安全，会话时间短

6. 密码式

7. 凭证式 cli 应用

   1. 直接在 cli 中向 B 发出请求
   2. b 通过后返回 token

调用 API 时在 header 中带上 token 即可。

令牌快到期时，用户可以使用 refresh token 刷新令牌

单点登陆

单点登陆就是在多个应用中，只需要登陆一次。

Cookie：保存在浏览器中 Session： 保存在后端

请求登陆 -> 后端创建 session，同时创建 cookie,里面有 sessionid。 然后将 cookie 发送给浏览器 -> 浏览器之后请求的时候带上 cookie-> 后端判断是否正确->

SSO 就是一个单独的认证中心，只有认证中心接受用户账户和密码，其他应用只接受间接授权。

1. 登陆

所有登陆都通过认证中心，访问需要登陆的资源时跳转到登陆，接着带着 token 跳转到回调地址，保存 cookie

如果用户在应用 1 登陆了，但没在应用 2 登陆。访问应用 2 时带着回调地址和 cookie 信息访问认证中心，拿到 token。

用户登录成功之后，会与 sso 认证中心及访问的子系统建立会话，用户与 sso 认证中心建立的会话称为全局会话，用户与各个子系统建立的会话称为局部会话，局部会话建立之后，用户访问子系统受保护资源将不再通过 sso 认证中心，全局会话与局部会话有如下约束关系

局部会话存在，全局会话一定存在 全局会话存在，局部会话不一定存在 全局会话销毁，局部会话必须销毁

2. 注销

sso 认证中心一直监听全局会话的状态，一旦全局会话销毁，监听器将通知所有注册系统执行注销操作