LDAP介绍

1. 目录服务：

目录服务本质上是一种基于客户/服务器模型的信息查询服务，它依赖于目录数据库。目录数据库中的数据读取和查询效率非常高，但是它的数据写入效率较低

2. 介绍LDAP:

-轻型目录访问协议（Light Directory Access Portocol），它是基于X.500标准的轻量级目录访问协议。是一个开放的，中立的，工业标准的应用协议，通过IP协议提供访问控制和维护分布式信息的目录信息。
目录是一个为查询、浏览和搜索而优化的数据库，它成树状结构组织数据，类似文件目录一样。
目录数据库和关系数据库不同，它有优异的读性能，但写性能差，并且没有事务处理、回滚等复杂功能，不适于存储修改频繁的数据。
LDAP目录服务是由目录数据库和一套访问协议组成的系统。

3. LDAP协议适用：

LDAP协议的好处就是你公司所有员工在所有这些工具里共享一套用户名和密码，来新人的时候新增一个用户就能自动访问所有系统，离职的时候一键删除就取消所有系统的访问权限，这就是ldap

4. LDAP适用SSO场景
当LDAP作为数据源时，对外通过LDAP Search以及LDAP Modify协议来进行数据同步；当作为认证源时，通过LDAP Bind协议来进行身份认证。

但是SSO的定义是单次登录（每次登陆只输入一次账号密码）就可以访问多个应用，本质上是B/S架构的，也就是说需要借助浏览器才能实现SSO功能，而LDAP更适合于C/S架构的登陆，通过LDAP其实并不能做到单点登录SSO，用户必须还得再次输入密码. LDAP只是提供了统一管理用户/密码的功能(即认证源)。

使用的应用或系统是否以C/S架构为主？
用LDAP还是其他SSO系统，得取决于对接的应用是B/S架构的还是C/S架构的。比如像OpenVPN这种C/S架构，它本身的登陆是没有浏览器的，所以无法通过SSO协议对接(玉符自己用的VPN、SSH、Wifi等对接的就是LDAP扩展)。因为LDAP是上一个时代的产物，针对典型的C/S软件架构，发明初衷就没有SSO的概念，而是为了存储有层级关系的目录结构，基本不支持现在流行的B/S架构，需要用户重复输入密码。

C/S即Client/Server（客户机/服务器）结构，C/S结构在技能上非常成熟，它的重要特征就是交互性强、拥有安全的存取形式、网络通信数量低、响应速度快、利于处置大量数据。可是这个结构的程序就是针对性开发，变更不够灵活，维护与管理的难度较大。常常只局限在小型局域网，不利于扩展。而且，因为这个结构的每台客户机全部须要安装相对应的客户端程序，分布功能弱并且兼容性差，不可以完成迅速部署安装与配置，因为这样缺少通用性，拥有比较大的局限性。请求拥有肯定专业水准的技能人员去结束。
B/S即Browser/Server（浏览器/服务器）结构，就是只安装维护一个服务器（Server），而客户端选用浏览器（Browse）运行软件。B/S结构应用程序相对于传统的C/S结构应用程序就是一个特别大的进步。
B/S结构的重要特征就是分布性强、维护方便、开发简单并且共享性强、总体拥有费用低。但数据安全性问题、对服务器需要过高、数据传输速度慢、软件的个性化特征明显减少，这些缺点就是有目共睹的，难以完成传统形式下的特殊功能请求。比如通过浏览器实行大量的数据输入或实行报表的应答、专用性打印输出全部相对比较困难与不便。另外，完成复杂的应用构造有较大的困难。

sso单点登录：
sso，也就是单点登录。
单点登录（SSO系统）是保障各业务系统的用户资源的安全。
在多个应用系统中，只需要登录一次，就可以访问其他相互信任的应用系统。

普通登录认证机制
登录之后，客户端会存cookie，服务端会存session。

同域实现单点登录
客户端在设置cookie时只能设置顶域和自己的域，不能设置其他的域。
因此，同域可以把cookie设置在顶域上，这样其他的子域系统就可以拿到cookie了。
而服务端的session则可以使用共享的session来解决。

不同域实现单点登录 对于浏览器来说，浏览器是客户端，其他系统是服务端，对于sso系统来说，其他系统是客户端，sso系统是服务端。
1、浏览器访问系统1，系统1验证未登录，然后系统1去sso系统验证是否已经登录。
2、如果sso系统已经登录，则sso系统返回令牌给系统1，系统1拿着令牌再去sso系统校验令牌(预防其他手段的伪造信息)。校验成功，则sso系统注册系统1(比如系统1的地址)，然后系统1存session。
3、如果sso系统未登录，则在sso系统进行登录，然后sso系统存session，并返回令牌给系统1。系统1再拿令牌去sso系统校验令牌，校验成功，则sso系统注册系统1，然后系统1存session，最后浏览器存cookie。
4、浏览器访问系统2，循环以上步骤。