什么是单点登录
单点登录(Single Sign On )简称SSO,是目前流行的企业业务集成解决方案之一。 SSO的定义是,在多个APP应用程序系统中,用户可以通过一次登录访问所有相互信任的APP应用程序系统。 其中包括一种机制,可以将这次的主要登录映射到其他APP中的同一用户的登录。
单点登录的技术实现机制
当用户第一次访问APP应用程序系统1时,因为还没有登录,所以在认证系统引导下登录; 根据用户提供的登录信息,认证系统进行认证,在认证通过的情况下,向用户返回认证的认证信息--ticket的用户访问其他APP应用时,带上该ticket,作为自己认证的认证信息如果有效的话,用户不需要再次登录就可以访问APP应用系统2和APP应用系统3。
实现SSO需要以下主要功能:
1 .所有APP应用系统共享一个认证系统。
统一的认证系统是SSO的前提之一。 验证系统的主要功能是将用户的登录信息与用户数据库进行比较,对用户进行登录验证。 认证成功后,认证系统应该生成统一的认证标记(ticket )并返回给用户。 另外,认证系统应该对ticket判断有效性。
2、所有应用系统均可识别和提取ticket信息
为了实现SSO的功能,用户只需登录一次,APP应用系统就可以识别登录的用户。 APP应用程序应该能够识别和提取ticket,通过与认证系统的通信,可以自动判断当前用户是否登录,完成单点登录的功能。
另外:
1、单个用户信息数据库不是必需的。 许多系统无法集中存储所有用户信息。 必须允许将用户信息放在不同的存储器中,如下图所示。 事实上,只要统一身份验证系统,统一ticket的生成和有效性,无论用户信息存储在哪里都可以实现单点登录。
2、统一的认证系统不仅仅是单一的认证服务器
通过标准通信协议在认证服务器之间交换凭据,可以实现更高级的单点登录。 例如,当用户访问APP应用系统1时在第一认证服务器中进行认证之后,可以获得从该服务器创建的主题。 当他访问APP应用系统2时,认证服务器2可确认该ticket已在第一服务器上生成,并且该认证服务器2仍可以通过在认证服务器之间的标准通信协议(例如SAML )中交换认证信息来完成SSO功能。
WEB-SSO的实现
用户在访问页面1时登录,但每个客户端请求都是单独连接的。 当客户端再次访问页面2时,如何才能告诉Web服务器刚才已经登录? 浏览器和服务器之间有使用cookie技术保持APP发布状态的约定。 Cookie是可以在Web服务器上设置的字符串,可以保存在浏览器中。 当浏览器访问页面1时,web服务器设置cookie,并将该cookie与页面1一起返回给浏览器。 当浏览器收到cookie时,它会保存它,并在访问页面2时带上它,以便在web服务器收到请求时读取cookie的值。 根据Cookie值的内容可以判断和恢复用户信息的状态Web-SSO可以利用Cookie的退出来完成用户注册信息的保存,并结合浏览器内的Cookie和上述Ticket来完成SSO的功能。
为了实现简单的SSO功能,需要两部分的合作。
1、统一的认证服务。
2 .修改web APP应用程序,以使每个APP应用程序通过此统一的认证服务进行身份验证。