OAUth2

refer to 

http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html

OAuth是一個關於受權（authorization）的開放網絡標準，在全世界獲得普遍應用，目前的版本是2.0版。

本文對OAuth 2.0的設計思路和運行流程，作一個簡明通俗的解釋，主要參考材料爲RFC 6749。

1、應用場景

爲了理解OAuth的適用場合，讓我舉一個假設的例子。

有一個"雲沖印"的網站，能夠將用戶儲存在Google的照片，沖印出來。用戶爲了使用該服務，必須讓"雲沖印"讀取本身儲存在Google上的照片。

問題是隻有獲得用戶的受權，Google纔會贊成"雲沖印"讀取這些照片。那麼，"雲沖印"怎樣得到用戶的受權呢？

傳統方法是，用戶將本身的Google用戶名和密碼，告訴"雲沖印"，後者就能夠讀取用戶的照片了。這樣的作法有如下幾個嚴重的缺點。

（1）"雲沖印"爲了後續的服務，會保存用戶的密碼，這樣很不安全。

（2）Google不得不部署密碼登陸，而咱們知道，單純的密碼登陸並不安全。

（3）"雲沖印"擁有了獲取用戶儲存在Google全部資料的權力，用戶無法限制"雲沖印"得到受權的範圍和有效期。

（4）用戶只有修改密碼，才能收回賦予"雲沖印"的權力。可是這樣作，會使得其餘全部得到用戶受權的第三方應用程序所有失效。

（5）只要有一個第三方應用程序被破解，就會致使用戶密碼泄漏，以及全部被密碼保護的數據泄漏。

OAuth就是爲了解決上面這些問題而誕生的。

2、名詞定義

在詳細講解OAuth 2.0以前，須要瞭解幾個專用名詞。它們對讀懂後面的講解，尤爲是幾張圖，相當重要。

（1） Third-party application：第三方應用程序，本文中又稱"客戶端"（client），即上一節例子中的"雲沖印"。

（2）HTTP service：HTTP服務提供商，本文中簡稱"服務提供商"，即上一節例子中的Google。

（3）Resource Owner：資源全部者，本文中又稱"用戶"（user）。

（4）User Agent：用戶代理，本文中就是指瀏覽器。

（5）Authorization server：認證服務器，即服務提供商專門用來處理認證的服務器。

（6）Resource server：資源服務器，即服務提供商存放用戶生成的資源的服務器。它與認證服務器，能夠是同一臺服務器，也能夠是不一樣的服務器。

知道了上面這些名詞，就不難理解，OAuth的做用就是讓"客戶端"安全可控地獲取"用戶"的受權，與"服務商提供商"進行互動。

3、OAuth的思路

OAuth在"客戶端"與"服務提供商"之間，設置了一個受權層（authorization layer）。"客戶端"不能直接登陸"服務提供商"，只能登陸受權層，以此將用戶與客戶端區分開來。"客戶端"登陸受權層所用的令牌（token），與用戶的密碼不一樣。用戶能夠在登陸的時候，指定受權層令牌的權限範圍和有效期。

"客戶端"登陸受權層之後，"服務提供商"根據令牌的權限範圍和有效期，向"客戶端"開放用戶儲存的資料。

4、運行流程

OAuth 2.0的運行流程以下圖，摘自RFC 6749。

（A）用戶打開客戶端之後，客戶端要求用戶給予受權。

（B）用戶贊成給予客戶端受權。

（C）客戶端使用上一步得到的受權，向認證服務器申請令牌。

（D）認證服務器對客戶端進行認證之後，確認無誤，贊成發放令牌。

（E）客戶端使用令牌，向資源服務器申請獲取資源。

（F）資源服務器確認令牌無誤，贊成向客戶端開放資源。

不難看出來，上面六個步驟之中，B是關鍵，即用戶怎樣才能給於客戶端受權。有了這個受權之後，客戶端就能夠獲取令牌，進而憑令牌獲取資源。

下面一一講解客戶端獲取受權的四種模式。

5、客戶端的受權模式

客戶端必須獲得用戶的受權（authorization grant），才能得到令牌（access token）。OAuth 2.0定義了四種受權方式。

• 受權碼模式（authorization code）
• 簡化模式（implicit）
• 密碼模式（resource owner password credentials）
• 客戶端模式（client credentials）

6、受權碼模式

受權碼模式（authorization code）是功能最完整、流程最嚴密的受權模式。它的特色就是經過客戶端的後臺服務器，與"服務提供商"的認證服務器進行互動。

它的步驟以下：

（A）用戶訪問客戶端，後者將前者導向認證服務器。

（B）用戶選擇是否給予客戶端受權。

（C）假設用戶給予受權，認證服務器將用戶導向客戶端事先指定的"重定向URI"（redirection URI），同時附上一個受權碼。

（D）客戶端收到受權碼，附上早先的"重定向URI"，向認證服務器申請令牌。這一步是在客戶端的後臺的服務器上完成的，對用戶不可見。

（E）認證服務器覈對了受權碼和重定向URI，確認無誤後，向客戶端發送訪問令牌（access token）和更新令牌（refresh token）。

下面是上面這些步驟所須要的參數。

A步驟中，客戶端申請認證的URI，包含如下參數：

• response_type：表示受權類型，必選項，此處的值固定爲"code"
• client_id：表示客戶端的ID，必選項
• redirect_uri：表示重定向URI，可選項
• scope：表示申請的權限範圍，可選項
• state：表示客戶端的當前狀態，能夠指定任意值，認證服務器會原封不動地返回這個值。

下面是一個例子。

GET /authorize?response_type=code&client_id=s6BhdRkqt3&state=xyz
        &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1
Host: server.example.com 

C步驟中，服務器迴應客戶端的URI，包含如下參數：

• code：表示受權碼，必選項。該碼的有效期應該很短，一般設爲10分鐘，客戶端只能使用該碼一次，不然會被受權服務器拒絕。該碼與客戶端ID和重定向URI，是一一對應關係。
• state：若是客戶端的請求中包含這個參數，認證服務器的迴應也必須如出一轍包含這個參數。

下面是一個例子。

HTTP/1.1 302 Found
Location: https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA &state=xyz 

D步驟中，客戶端向認證服務器申請令牌的HTTP請求，包含如下參數：

• grant_type：表示使用的受權模式，必選項，此處的值固定爲"authorization_code"。
• code：表示上一步得到的受權碼，必選項。
• redirect_uri：表示重定向URI，必選項，且必須與A步驟中的該參數值保持一致。
• client_id：表示客戶端ID，必選項。

下面是一個例子。

POST /token HTTP/1.1
Host: server.example.com Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW Content-Type: application/x-www-form-urlencoded grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb 

E步驟中，認證服務器發送的HTTP回覆，包含如下參數：

• access_token：表示訪問令牌，必選項。
• token_type：表示令牌類型，該值大小寫不敏感，必選項，能夠是bearer類型或mac類型。
• expires_in：表示過時時間，單位爲秒。若是省略該參數，必須其餘方式設置過時時間。
• refresh_token：表示更新令牌，用來獲取下一次的訪問令牌，可選項。
• scope：表示權限範圍，若是與客戶端申請的範圍一致，此項可省略。

下面是一個例子。

HTTP/1.1 200 OK
     Content-Type: application/json;charset=UTF-8
     Cache-Control: no-store
     Pragma: no-cache { "access_token":"2YotnFZFEjr1zCsicMWpAA", "token_type":"example", "expires_in":3600, "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA", "example_parameter":"example_value" } 

從上面代碼能夠看到，相關參數使用JSON格式發送（Content-Type: application/json）。此外，HTTP頭信息中明確指定不得緩存。

7、簡化模式

簡化模式（implicit grant type）不經過第三方應用程序的服務器，直接在瀏覽器中向認證服務器申請令牌，跳過了"受權碼"這個步驟，所以得名。全部步驟在瀏覽器中完成，令牌對訪問者是可見的，且客戶端不須要認證。

它的步驟以下：

（A）客戶端將用戶導向認證服務器。

（B）用戶決定是否給於客戶端受權。

（C）假設用戶給予受權，認證服務器將用戶導向客戶端指定的"重定向URI"，並在URI的Hash部分包含了訪問令牌。

（D）瀏覽器向資源服務器發出請求，其中不包括上一步收到的Hash值。

（E）資源服務器返回一個網頁，其中包含的代碼能夠獲取Hash值中的令牌。

（F）瀏覽器執行上一步得到的腳本，提取出令牌。

（G）瀏覽器將令牌發給客戶端。

下面是上面這些步驟所須要的參數。

A步驟中，客戶端發出的HTTP請求，包含如下參數：

• response_type：表示受權類型，此處的值固定爲"token"，必選項。
• client_id：表示客戶端的ID，必選項。
• redirect_uri：表示重定向的URI，可選項。
• scope：表示權限範圍，可選項。
• state：表示客戶端的當前狀態，能夠指定任意值，認證服務器會原封不動地返回這個值。

下面是一個例子。

GET /authorize?response_type=token&client_id=s6BhdRkqt3&state=xyz
        &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1
    Host: server.example.com

C步驟中，認證服務器迴應客戶端的URI，包含如下參數：

• access_token：表示訪問令牌，必選項。
• token_type：表示令牌類型，該值大小寫不敏感，必選項。
• expires_in：表示過時時間，單位爲秒。若是省略該參數，必須其餘方式設置過時時間。
• scope：表示權限範圍，若是與客戶端申請的範圍一致，此項可省略。
• state：若是客戶端的請求中包含這個參數，認證服務器的迴應也必須如出一轍包含這個參數。

下面是一個例子。

HTTP/1.1 302 Found
     Location: http://example.com/cb#access_token=2YotnFZFEjr1zCsicMWpAA
               &state=xyz&token_type=example&expires_in=3600

在上面的例子中，認證服務器用HTTP頭信息的Location欄，指定瀏覽器重定向的網址。注意，在這個網址的Hash部分包含了令牌。

根據上面的D步驟，下一步瀏覽器會訪問Location指定的網址，可是Hash部分不會發送。接下來的E步驟，服務提供商的資源服務器發送過來的代碼，會提取出Hash中的令牌。

8、密碼模式

密碼模式（Resource Owner Password Credentials Grant）中，用戶向客戶端提供本身的用戶名和密碼。客戶端使用這些信息，向"服務商提供商"索要受權。

在這種模式中，用戶必須把本身的密碼給客戶端，可是客戶端不得儲存密碼。這一般用在用戶對客戶端高度信任的狀況下，好比客戶端是操做系統的一部分，或者由一個著名公司出品。而認證服務器只有在其餘受權模式沒法執行的狀況下，才能考慮使用這種模式。

它的步驟以下：

（A）用戶向客戶端提供用戶名和密碼。

（B）客戶端將用戶名和密碼發給認證服務器，向後者請求令牌。

（C）認證服務器確認無誤後，向客戶端提供訪問令牌。

B步驟中，客戶端發出的HTTP請求，包含如下參數：

• grant_type：表示受權類型，此處的值固定爲"password"，必選項。
• username：表示用戶名，必選項。
• password：表示用戶的密碼，必選項。
• scope：表示權限範圍，可選項。

下面是一個例子。

POST /token HTTP/1.1
     Host: server.example.com
     Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
     Content-Type: application/x-www-form-urlencoded

     grant_type=password&username=johndoe&password=A3ddj3w

C步驟中，認證服務器向客戶端發送訪問令牌，下面是一個例子。

HTTP/1.1 200 OK
     Content-Type: application/json;charset=UTF-8
     Cache-Control: no-store
     Pragma: no-cache { "access_token":"2YotnFZFEjr1zCsicMWpAA", "token_type":"example", "expires_in":3600, "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA", "example_parameter":"example_value" } 

上面代碼中，各個參數的含義參見《受權碼模式》一節。

整個過程當中，客戶端不得保存用戶的密碼。

9、客戶端模式

客戶端模式（Client Credentials Grant）指客戶端以本身的名義，而不是以用戶的名義，向"服務提供商"進行認證。嚴格地說，客戶端模式並不屬於OAuth框架所要解決的問題。在這種模式中，用戶直接向客戶端註冊，客戶端以本身的名義要求"服務提供商"提供服務，其實不存在受權問題。

它的步驟以下：

（A）客戶端向認證服務器進行身份認證，並要求一個訪問令牌。

（B）認證服務器確認無誤後，向客戶端提供訪問令牌。

A步驟中，客戶端發出的HTTP請求，包含如下參數：

• granttype：表示受權類型，此處的值固定爲"clientcredentials"，必選項。
• scope：表示權限範圍，可選項。

POST /token HTTP/1.1
     Host: server.example.com
     Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
     Content-Type: application/x-www-form-urlencoded

     grant_type=client_credentials

認證服務器必須以某種方式，驗證客戶端身份。

B步驟中，認證服務器向客戶端發送訪問令牌，下面是一個例子。

HTTP/1.1 200 OK
     Content-Type: application/json;charset=UTF-8
     Cache-Control: no-store
     Pragma: no-cache { "access_token":"2YotnFZFEjr1zCsicMWpAA", "token_type":"example", "expires_in":3600, "example_parameter":"example_value" } 

上面代碼中，各個參數的含義參見《受權碼模式》一節。

10、更新令牌

若是用戶訪問的時候，客戶端的"訪問令牌"已通過期，則須要使用"更新令牌"申請一個新的訪問令牌。

客戶端發出更新令牌的HTTP請求，包含如下參數：

• granttype：表示使用的受權模式，此處的值固定爲"refreshtoken"，必選項。
• refresh_token：表示早前收到的更新令牌，必選項。
• scope：表示申請的受權範圍，不能夠超出上一次申請的範圍，若是省略該參數，則表示與上一次一致。

下面是一個例子。

POST /token HTTP/1.1
     Host: server.example.com
     Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
     Content-Type: application/x-www-form-urlencoded

     grant_type=refresh_token&refresh_token=tGzv3JOkF0XG5Qx2TlKWIA

開放平臺介紹

什麼是開放平臺

開放平臺在百科中的定義：
開放平臺（Open Platform） 在軟件行業和網絡中，開放平臺是指軟件系統經過公開其應用程序編程接口（API）或函數（function)來使外部的程序能夠增長該軟件系統的功能或使用該軟件系統的資源，而不須要更改該軟件系統的源代碼。

通俗或者說應景點的說法，開放平臺，就是互聯網企業，將其內部的資源(通常是數據)，好比用戶數據，平臺業務數據，以技術的手段(通常是RESTFul接口API)，開放給受控的第三方合做夥伴，活公司內部的其它一些產品，造成一個安全受控的資源暴露平臺。

爲何要搭建開放平臺

搭建開放平臺的意義，通常在於：
1.搭建基於API的生態體系
2.利用開放平臺，搭建基於計費的API數據平臺
3.爲APP端提供統一接口管控平臺，相似於網關的概念
4.爲第三方合做夥伴的業務對接提供授信可控的技術對接平臺

開放平臺體系結構圖

開放平臺核心模塊

一個典型的開放平臺，至少包含如下幾個核心模塊：
1.平臺門戶
平臺門戶負責向第三方展現用於進行業務及技術集成的管理界面，至少包含如下幾個功能：
1.服務商入住(第三方合做夥伴入住)
2.應用配置(第三方應用管理)
3.權限申請(通常包括接口權限和字段權限)
4.運維中心(開放平臺當前服務器、接口狀態，服務商接口告警等)
5.幫助中心(入住流程說明，快速接入說明，API文檔等)

2.鑑權服務
鑑權服務負責整個平臺的安全性
1.接口調用鑑權(第三方合做夥伴是否有權限調用某接口)
2.用戶受權管理(用戶對某個第三方應用獲取改用戶信息的權限管理)
3.用戶鑑權(平臺用戶的鑑權)
4.應用鑑權(第三方合做夥伴的應用是否有權調用該平臺)

3.開放接口
開放接口用於將平臺數據暴露給合做夥伴
1.平臺用戶接口(用於獲取公司APP生態鏈中的用戶信息)
2.平臺數據接口(平臺中的一些開放數據)
3.其它業務接口(平臺開放的一些業務數據)

4.運營系統
運營系統是整個平臺的後臺業務管理系統，負責對第三方合做夥伴提出的各類申請進行審覈操做，對當前應用的操做進行審計工做，對當前業務健康度進行監控等
1.服務商管理(對第三方合做夥伴的資質進行審覈、操做)
2.應用管理(對第三方應用進行審覈、上下線管理)
3.權限管理（對合做夥伴申請的資源進行審覈、操做）
4.統計分析(監控平臺當前運行狀態，統計平臺業務數據)

OAuth2介紹

什麼是OAuth2

百科：OAUTH協議爲用戶資源的受權提供了一個安全的、開放而又簡易的標準。與以往的受權方式不一樣之處是OAUTH的受權不會使第三方觸及到用戶的賬號信息（如用戶名與密碼），即第三方無需使用用戶的用戶名與密碼就能夠申請得到該用戶資源的受權，所以OAUTH是安全的。oAuth是Open Authorization的簡寫。

簡單來講：OAuth2協議，定義了一套用戶、第三方服務和存儲着用戶數據的平臺之間的交互規則，可使得用戶無需將本身的用戶名和密碼暴露給第三方，便可使第三方應用獲取用戶在該平臺上的數據，最多見的場景即是如今互聯網上的各類使用XXX帳號登陸。

OAuth2協議中角色介紹

OAuth2協議中，共有四個參與方(角色)：
1.resource owner：資源擁有者
即用戶
2.resource server：資源服務器
即存儲用戶數據的服務器，通常對外都以RESTFul API的形式暴露用戶數據，client使用access token訪問resource server申請被保護起來的用戶數據
3.client：客戶端
即第三方應用
4.authorization server：受權服務器
用來鑑權第三方應用合法性，並對用戶登陸、是否受權第三方應用獲取數據進行響應，並根據用戶操做，想第三應用頒發用戶token或者告知受權失敗

OAuth2經常使用協議介紹

OAUTH2標準業務協議，以下圖所示

A.第三方應用向用戶請求受權，但願獲取用戶數據
B.用戶贊成受權
C.第三方應用拿着用戶受權，向平臺索要用戶access token
D.平臺校驗第三應用合法性及用戶受權真實性後，向平臺發放用戶access token
E.第三方應用拿着用戶access token向平臺索要用戶數據
F.平臺在校驗用戶access token真實性後，返回用戶數據

OAuth2使用場景介紹

目前，OAuth2協議使用最多的場景仍是用以給第三方應用獲取用戶信息，業務流程以下圖所示

1.在瀏覽器中，用戶點擊第三方應用按鈕，由第三方應用發起請求，向平臺發起受權請求。
2.平臺在接收到第三方應用請求後，瀏覽器跳轉用戶登陸界面，請求用戶進行登陸。
3.用戶在平臺登陸界面輸入用戶名、密碼進行登陸
4.平臺判斷用戶合法性，校驗失敗，在瀏覽器中提示錯誤緣由
5.平臺判斷用戶是否須要對該第三方應用進行受權。(不須要受權的狀況有兩種：a.平臺信任該第三方應用，如公司內部應用，無需用戶進行受權，默認給予用戶數據。b.該用戶以前已經給該應用授予過權限，而且仍在有效期內)
6.如需受權，平臺跳轉瀏覽器界面至受權界面，告知用戶將授予哪一個第三方哪些數據權限
7.用戶受權後，將用戶受權碼回調給第三方url
8.第三方在獲取用戶受權碼後，帶着用戶受權碼訪問平臺鑑權接口，請求用戶token
9.平臺在收到第三方請求後，校驗受權碼真實性，並返回用戶token
10.第三方使用用戶token向平臺請求用戶接口
11.平臺接口判斷用戶token真實性，並向第三方返回用戶數據

OAuth2核心功能說明

1.應用註冊
應用註冊後，OAuth2會下發應用app_id和app_secret，用以標記該應用的惟一性，而且這兩個參數將貫穿整個OAuth協議，用以對應用合法性進行校驗。同時，應用須要提供redirect_uri，用以和平臺進行異步交互，獲取用戶令牌及錯誤信息。
2.受權/鑑權中心
a.對用戶的應戶名、密碼進行鑑權
b.對第三方應用的app_id,app_secret進行鑑權
c.展現受權界面，並對用戶對第三方應用的受權操做進行響應
d.對用戶受權碼及用戶token的真實性進行鑑權
3.token管理
a.建立token、刷新token
b.查詢token詳細數據
c.校驗token時效性

OAuth2體系結構

開放平臺集成OAuth2體系

1.平臺門戶：
門戶應用入住界面，須要集成OAuth2應用建立接口，錄入第三方回調地址，並回顯app_id和app_secret參數
2.鑑權服務：
鑑權服務需集成OAuth2的authorize及token接口，用以提供用戶受權及code/token鑑權功能
3.開放接口：
開放接口需集成OAuth2的resource server角色，對用戶數據進行安全管理，對第三方應用發起的請求作出響應，並對token進行真實性校驗
4.運營系統：
運營系統需提供對當前OAuth2應用的管理功能，用戶受權列表管理，用戶token管理等OAuth2協議相關管理功能。

SSO介紹

什麼是SSO

百科：SSO英文全稱Single Sign On，單點登陸。SSO是在多個應用系統中，用戶只須要登陸一次就能夠訪問全部相互信任的應用系統。它包括能夠將此次主要的登陸映射到其餘應用中用於同一個用戶的登陸的機制。它是目前比較流行的企業業務整合的解決方案之一。

簡單來講，SSO出現的目的在於解決同一產品體系中，多應用共享用戶session的需求。SSO經過將用戶登陸信息映射到瀏覽器cookie中，解決其它應用免登獲取用戶session的問題。

爲何須要SSO

開放平臺業務自己不須要SSO，可是若是平臺的普通用戶也能夠在申請後成爲一個應用開發者，那麼就須要將平臺加入到公司的總體帳號體系中去，另外，對於企業級場景來講，通常都會有SSO系統，充當統一的帳號校驗入口。

CAS協議中概念介紹

SSO單點登陸只是一個方案，而目前市面上最流行的單端登陸系統是由耶魯大學開發的CAS系統，而由其實現的CAS協議，也成爲目前SSO協議中的既定協議，下文中的單點登陸協議及結構，均爲CAS中的體現結構
CAS協議中有如下幾個概念：
1.CAS Client：須要集成單點登陸的應用，稱爲單點登陸客戶端
2.CAS Server：單點登陸服務器，用戶登陸鑑權、憑證下發及校驗等操做
3.TGT：ticker granting ticket，用戶憑證票據，用以標記用戶憑證，用戶在單點登陸系統中登陸一次後，再其有效期內，TGT即表明用戶憑證，用戶在其它client中無需再進行二次登陸操做，便可共享單點登陸系統中的已登陸用戶信息
4.ST：service ticket，服務票據，服務能夠理解爲客戶端應用的一個業務模塊，體現爲客戶端回調url，CAS用以進行服務權限校驗，即CAS能夠對接入的客戶端進行管控
5.TGC：ticket granting cookie，存儲用戶票據的cookie，即用戶登陸憑證最終映射的cookies

CAS核心協議介紹

1.用戶在瀏覽器中訪問應用
2.應用發現須要索要用戶信息，跳轉至SSO服務器
3.SSO服務器向用戶展現登陸界面，用戶進行登陸操做，SSO服務器進行用戶校驗後，映射出TGC
4.SSO服務器向回調應用服務url，返回ST
5.應用去SSO服務器校驗ST權限及合法性
6.SSO服務器校驗成功後，返回用戶信息

CAS基本流程介紹

如下爲基本的CAS協議流程，圖一爲初次登陸時的流程，圖二爲已進行過一次登陸後的流程

代碼及示例

spring提供了整套的開源包，用以搭建OAUTH2+SSO的體系：
1.spring-oauth2：用以實現OAuth2協議，提供了上述全部四個角色提供的功能
2.spring-cas：用以實現和cas的集成，將OAuth2的登陸、登出功能委託給CAS處理，並提供了統一的回調機制及憑證校驗機制
3.CAS，耶魯大學官方提供的SSO開源實現，本文的單點登陸協議即按照CAS進行的說明

本文還提供了基於GO語言實現的簡單OAuth2+SSO功能，詳見github:
https://github.com/janwenjohn/go-oauth2-sso