我想知道是否应该使用CAS协议或OAuth + 一些身份验证提供程序进行单点登录。
示例场景:
据我了解,这正是 CAS 发明的目的。CAS 客户端必须实现 CAS 协议才能使用身份验证服务。现在我想知道在客户端(消费者)站点上使用 CAS 或 OAuth。OAuth 是 CAS 的那部分的替代品吗?是否应该首选 OAuth 作为新的事实标准?是否有一个易于使用的(不是 Sun OpenSSO!)替代 CAS 的身份验证部分,支持不同的方法,如用户名/密码、OpenID、TLS 证书......?
语境:
我刚刚发现了 WRAP,它可能成为 OAuth 的继任者。它是微软、谷歌和雅虎指定的新协议。
附录
我了解到 OAuth 不是为身份验证而设计的,即使它可以用于实现 SSO,但只能与 OpenID 等 SSO 服务一起使用。
在我看来,OpenID 是“新 CAS”。CAS 有一些 OpenID 缺失的功能(如单点注销),但在特定场景中添加缺失的部分应该不难。我认为 OpenID 具有广泛的接受度,最好将 OpenID 集成到应用程序或应用程序服务器中。我知道 CAS 也支持 OpenID,但我认为 CAS 对 OpenID 是可有可无的。
OpenID 不是 CAS 的“继任者”或“替代者”,它们在意图和实现上是不同的。
CAS 集中 认证。如果您希望所有(可能是内部的)应用程序要求用户登录到单个服务器(所有应用程序都配置为指向单个 CAS 服务器),请使用它。
OpenID 分散 身份验证。如果您希望您的应用程序接受用户登录到他们想要的任何身份验证服务,请使用它(用户提供 OpenID 服务器地址 - 实际上,“用户名”是服务器的 URL)。
以上都没有处理授权(没有扩展和/或定制)。
OAuth 处理授权,但它不能替代传统的“USER_ROLES 表”(用户访问)。它处理第三方的授权。
例如,您希望您的应用程序与 Twitter 集成:用户可以允许它在更新数据或发布新内容时自动发送推文。您想代表用户访问某些第三方服务或资源,而无需获取他的密码(这对用户来说显然是不安全的)。应用程序请求 Twitter 访问, 用户 授权它(通过 Twitter),然后应用程序可以访问。
因此,OAuth 不是单点登录(也不是 CAS 协议的替代品)。这与 您 控制用户可以访问的内容无关。它是关于让 用户 控制第三方如何访问 他们的资源。 两个非常不同的用例。
根据您描述的情况,CAS 可能是正确的选择。
[更新]
也就是说,如果您将用户的身份视为安全资源,则可以使用 OAuth 实现 SSO。基本上,这就是“使用 GitHub 注册”之类的做法。可能不是协议的初衷,但可以做到。如果您控制 OAuth 服务器,并将应用程序限制为仅对其进行身份验证,那就是 SSO。
但是,没有强制注销的标准方法(CAS 具有此功能)。
