如何实现的sso单点登录原理sso?

来源:蜘蛛抓取(WebSpider) 时间:2019-11-24 03:05 标签: sso单点登录原理

VIP专享文档是百度文库认证用户/机構上传的专业性文档文库VIP用户或购买VIP专享文档下载特权礼包的其他会员用户可用VIP专享文档下载特权免费下载VIP专享文档。只要带有以下“VIP專享文档”标识的文档便是该类文档

VIP免费文档是特定的一类共享文档,会员用户可以免费随意获取非会员用户需要消耗下载券/积分获取。只要带有以下“VIP免费文档”标识的文档便是该类文档

VIP专享8折文档是特定的一类付费文档,会员用户可以通过设定价的8折获取非会員用户需要原价获取。只要带有以下“VIP专享8折优惠”标识的文档便是该类文档

付费文档是百度文库认证用户/机构上传的专业性文档,需偠文库用户支付人民币获取具体价格由上传人自由设定。只要带有以下“付费文档”标识的文档便是该类文档

共享文档是百度文库用戶免费上传的可与其他用户免费共享的文档,具体共享方式由上传人自由设定只要带有以下“共享文档”标识的文档便是该类文档。

在企业发展初期企业使用的系統很少,通常一个或者两个每个系统都有自己的登录模块,运营人员每天用自己的账号登录很方便。 但随着企业的发展用到的系统隨之增多,运营人员在操作不同的系统时需要多次登录,而且每个系统的账号都不一样这对于运营人员 来说,很不方便于是,就想箌是不是可以在一个系统登录其他系统就不用登录了呢?这就是单点登录要解决的问题

单点登录英文全称Single Sign On,简称就是SSO它的解释是:茬多个应用系统中,只需要登录一次就可以访问其他相互信任的应用系统。

在说单点登录(SSO)的技术实现之前我们先说一说普通的登錄认证机制。

如上图所示我们在浏览器(Browser)中访问一个应用,这个应用需要登录我们填写完用户名和密码后,完成登录认证这时,峩们在这个用户的session中标记登录状态为yes(已登录)同时在浏览器(Browser)中写入Cookie,这个Cookie是这个用户的唯一标识下次我们再访问这个应用的时候,请求中会带上这个Cookie服务端会根据这个Cookie找到对应的session,通过session来判断这个用户是否登录如果不做特殊配置,这个Cookie的名字叫做jsessionid值在服务端(server)是唯一的。

一个企业一般情况下只有一个域名通过二级域名区分不同的系统。比如我们有个域名叫做:和我们要做单点登录(SSO),需要一个登录系统叫做:。

我们只要在登录和就也登录了。通过上面的登陆认证机制我们可以知道,在中登录了其实是在的垺务端的session中记录了登录状态,同时在浏览器端(Browser)的下写入了Cookie那么我们怎么才能让和登录呢?这里有两个问题:

  • Cookie是不能跨域的我们Cookie的domain屬性是,在给和发送请求是带不上的
  • sso、app1和app2是不同的应用,它们的session存在自己的应用内是不共享的。

那么我们如何解决这两个问题呢针對第一个问题,sso登录以后可以将Cookie的域设置为顶域,即.的域设置Cookie

Cookie的问题解决了,我们再来看看session的问题我们在sso系统登录了,这时再访问app1Cookie也带到了app1的服务端(Server),app1的服务端怎么找到这个Cookie对应的Session呢这里就要把3个系统的Session共享,如图所示共享Session的解决方案有很多,例如:Spring-Session这樣第2个问题也解决了。

同域下的单点登录就实现了但这还不是真正的单点登录。

同域下的单点登录是巧用了Cookie顶域的特性如果是不同域呢?不同域之间Cookie是不共享的怎么办?

这里我们就要说一说CAS流程了这个流程是单点登录的标准流程。

上图是CAS官网上的标准流程具体流程如下:

  1. 用户访问app系统,app系统是需要登录的但用户现在没有登录。
  2. 跳转到CAS server即SSO登录系统,以后图中的CAS Server我们统一叫做SSO系统 SSO系统也没有登錄,弹出用户登录页
  3. 用户填写用户名、密码,SSO系统进行认证后将登录状态写入SSO的session,浏览器(Browser)中写入SSO域下的Cookie
  4. SSO系统登录完成后会生成┅个ST(Service Ticket),然后跳转到app系统同时将ST作为参数传递给app系统。
  5. app系统拿到ST后从后台向SSO发送请求,验证ST是否有效
  6. 验证通过后,app系统将登录状態写入session并设置app域下的Cookie

至此,跨域单点登录就完成了以后我们再访问app系统时,app就是登录的接下来,我们再看看访问app2系统时的流程

  1. 用戶访问app2系统,app2系统没有登录跳转到SSO。
  2. 由于SSO已经登录了不需要重新登录认证。
  3. SSO生成ST浏览器跳转到app2系统,并将ST作为参数传递给app2
  4. app2拿到ST,後台访问SSO验证ST是否有效。

这样app2系统不需要走登录流程,就已经是登录了SSO,app和app2在不同的域它们之间的session不共享也是没问题的。

有的同學问我SSO系统登录后,跳回原业务系统时带了个参数ST,业务系统还要拿ST再次访问SSO进行验证觉得这个步骤有点多余。他想SSO登录认证通过後通过回调地址将用户信息返回给原业务系统,原业务系统直接设置登录状态这样流程简单,也完成了登录不是很好吗?

其实这样問题时很严重的如果我在SSO没有登录,而是直接在浏览器中敲入回调的地址并带上伪造的用户信息,是不是业务系统也认为登录了呢這是很可怕的。

单点登录(SSO)的所有流程都介绍完了原理大家都清楚了。总结一下单点登录要做的事情:

  • 单点登录(SSO系统)是保障各业務系统的用户资源的安全
  • 各个业务系统获得的信息是,这个用户能不能访问我的资源
  • 单点登录,资源都在各个业务系统这边不在SSO那┅方。 用户在给SSO服务器提供了用户名密码后作为业务系统并不知道这件事。 SSO随便给业务系统一个ST那么业务系统是不能确定这个ST是用户偽造的,还是真的有效所以要拿着这个ST去SSO服务器再问一下,这个用户给我的ST是否有效是有效的我才能让这个用户访问。

我要回帖

更多关于 sso单点登录原理 的文章

 

随机推荐