CAS单点登录-客户端集成(shiro springboot jwt pac4j)(十)

由于我们通常在业务上会有以下的使用场景:

  • 移动端通过业务系统鉴权
  • 移动端免登录(登录一次以后)

解决方案:

  • JWT(token认证方案)
  • OAuth(第三方认证)

PS:若想继续往下读,必须具备JWT的基本概念以及Pac4j的认证原理及应用场景

疑问

当然我们这章是讲JWT,那么会有以下的疑问:

  1. 若服务端已经接入了SSO,那么在移动端用户登录信息提交给SSO还是服务端?(毫无疑问是服务端,SSO对于移动端必须是透明的)
  2. 若采用无会话方式,如何获取token,服务端如何鉴权?(1.提交用户名密码到服务端,服务端把数据给到sso,sso最终返回用户数据 2. 根据用户数据创建token返回给移动端 3. 移动端登录后请求都带token给到服务端鉴权)
  3. 在使用token鉴权的情况下,退出如何解决?(客户端丢弃token即可)

鉴权流程

我们再讲一下整一个鉴权流程