聊聊单点登录(SSO)

最新推荐文章于 2025-08-21 09:53:49 发布
原创 最新推荐文章于 2025-08-21 09:53:49 发布 · 1k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#单点登录

写在前面

单点登录(Single Sign-On,SSO)是一种身份验证方法,允许用户使用一组凭据(如用户名和密码)在多个相关但独立的系统中进行身份验证。这样,用户只需要登录一次,就可以访问所有需要身份验证的应用程序或服务,而无需在每个应用程序中都输入用户名和密码。

SSO 提供了许多好处,包括:

  1. 增强安全性:通过集中管理用户身份验证,减少了密码泄露的风险。
  2. 提高用户体验:用户不再需要记住多个用户名和密码,简化了登录过程。
  3. 降低 IT 成本:减少了对多个系统的身份验证管理和维护。

常见的 SSO 模式

1. Session + Cookie

在这种模式下,用户首次登录时,服务器会生成一个唯一的会话 ID,并将其存储在服务器端的会话存储中。同时,服务器也会在用户的浏览器中设置一个 cookie,包含该会话 ID。每次用户访问受保护的资源时,浏览器都会发送这个 cookie,服务器通过会话 ID 来验证用户的身份。

优点

  • 实现简单,易于理解。
  • 对于小规模系统,性能和安全性都可以接受。

缺点

  • 会话存储可能会成为性能瓶颈,尤其是在大规模系统中。
  • 如果服务器端的会话存储被攻击或泄露,所有用户的会话都可能被盗用。
2. Token

在 token 模式中,服务器在用户登录时生成一个加密的 token,并将其返回给客户端。客户端在后续的请求中将这个 token 发送给服务器,服务器解密 token 并验证用户的身份。

优点

  • 不需要在服务器端存储会话信息,适合大规模分布式系统。
  • 可以使用标准的加密算法来保护 token 的安全性。

缺点

  • 如果 token 被盗用,攻击者可以假冒用户进行操作,直到 token 过期或被撤销。
  • token 的有效期需要精心设计,过短会导致频繁的重新登录,过长则增加了安全风险。
3. Token + Refresh Token

为了解决上述问题,引入了 refresh token。用户登录时,服务器会生成两个 token:一个短期的 access token 和一个长期的 refresh token。客户端在每次请求中都使用 access token,直到它过期。然后,客户端使用 refresh token 从服务器获取新的 access token。

优点

  • 提供了更好的安全性和灵活性。
  • 可以在不影响用户体验的情况下,定期更新 access token。

缺点

  • 实现相对复杂,需要管理两个 token。
  • 如果 refresh token 被盗用,攻击者可以获取新的 access token,直到 refresh token 过期或被撤销。

Token 无感刷新的实现及优化

Token 无感刷新是指在 access token 过期时,客户端可以自动使用 refresh token 获取新的 access token,而不需要用户重新登录。以下是实现和优化的步骤:

  1. 设置合理的 token 有效期:access token 的有效期应该足够短,以减少被盗用的风险;refresh token 的有效期可以相对较长,但也需要定期更新。
  2. 使用 HTTP 401 状态码:当 access token 过期时,服务器应该返回 HTTP 401 状态码,提示客户端重新获取 access token。
  3. 客户端自动刷新 token:客户端在接收到 HTTP 401 状态码后,应该自动使用 refresh token 从服务器获取新的 access token。
  4. 使用 token 黑名单:服务器可以维护一个 token 黑名单,记录已经被撤销或过期的 token,以防止它们被再次使用。
  5. 限制 token 的使用次数:可以设置一个阈值,限制 refresh token 可以被用来获取新的 access token 的次数,以防止滥用。

OAuth2 协议

OAuth2 是一个授权框架,允许第三方应用程序在不获取用户凭据的情况下,访问用户在另一个服务中存储的资源。它提供了一种安全的方式来授权第三方应用程序访问用户的数据。

在 OAuth2 中,存在四个主要角色:

  1. 资源所有者:通常是用户,拥有需要被保护的资源。
  2. 资源服务器:存储和管理受保护的资源。
  3. 客户端:第三方应用程序,需要访问受保护的资源。
  4. 授权服务器:负责验证用户的身份并颁发 access token。

OAuth2 提供了多种授权流程,包括:

  1. 授权码流程:适用于需要高安全性的场景。
  2. 隐式流程:适用于客户端无法保密 client secret 的场景。
  3. 资源所有者密码凭据流程:适用于用户直接向客户端提供凭据的场景。
  4. 客户端凭据流程:适用于客户端需要访问自己的资源的场景。

小结

对于小规模系统,Session + Cookie 是一个简单有效的选择。对于大规模系统,Token 或双 Token 更加适合,因为它们可以提供更好的性能和安全性。第三方登录通常使用 OAuth2 协议,以确保用户数据的安全性。

在选择和实现 SSO 解决方案时,需要考虑系统的规模、安全性需求和用户体验等因素。同时,也需要注意 token 的管理和优化,以确保系统的稳定性和安全性。

C# 单点登录SSO)实现详解
java专栏
08-18 882
👩‍🔬嘿小伙伴们!今天咱们要聊聊的是单点登录(Single Sign-On,简称SSO),它是一种让用户只需要登录一次就可以访问所有关联应用系统的技术。想象一下,如果你是一家公司的员工,你可以只用一套用户名密码就能登录公司的邮件系统、文档管理系统、财务系统等等——是不是超级方便?🌟。
Java单点登录SSO)实现详解
java专栏
08-16 1039
👩‍🔬嗨小伙伴们!今天我们要聊的是单点登录(Single Sign-On,简称SSO),这是一项能让用户只需要登录一次就能访问所有关联的应用系统的技术。想象一下,如果你是一家公司的员工,你可以只用一套用户名密码就能登录公司的邮件系统、文档管理系统、财务系统等等——是不是超级方便?🌟。
单点登录】关于单点登录SSO)的几种方式,简单说明总结
xzb5566的专栏
08-13 1124
单点登录】关于单点登录SSO)的几种方式,简单说明总结。
单点登录SSO)以及Cookie、SessionToken的区别
weixin_57541178的博客
03-01 2395
单点登录SSO)以及Cookie、SessionToken的区别
Token介绍到单点登录SSO
最新发布
qq_52869537的博客
08-21 1204
单点登录(Single Sign-On,简称SSO)是一种身份验证机制,指在同一帐号平台下的多个应用系统中,用户只需登录一次,即可访问所有相互信任的系统。简而言之,多个系统,统一登陆。(允许用户在一次登录后,通过一组凭据(如用户名密码)访问多个相关应用程序或系统,而无需为每个应用程序都重新输入凭据。通过 cookie 进行验证cookie 是某些网站为了辨别用户身份,由服务端生成,发给客户端暂时或永久保存的信息。简言之,cookie 就是一种存储用户数据的媒介。
[Java 基于SSO实现单点登录]
汤圆的博客
06-14 2631
顺风顺水
使用token机制来验证用户的安全性-b
weixin_34088838的博客
07-14 4445
登录的业务逻辑{    http:是短连接.         服务器如何判断当前用户是否登录?        // 1. 如果是即时通信类:长连接.    // 如何保证服务器跟客户端保持长连接状态?         // "心跳包" 用来检测用户是否在线!用来做长连接!   http:短连接使用token 机制来验证用户安全性         // token 值: 登录令牌! 用来...
Token机制是sso单点登录的最主要实现机制,最常用的实现机制。
HiterCoder
04-22 2596
Token机制是sso单点登录的最主要实现机制,最常用的实现机制。传统身份认证,一般一个应用服务器,在客户端服务器关联的时候,在应用服务器上做了一个HttpSession对象保持着客户端服务器上状态信息存储。1、传统身份认证。 1 HTTP是一种没有状态的协议,也就是它并不知道是谁是访问应用。这里我们把用户看成是客户端,客户端使用用户名还有密码通过了身份验证,不过下回这个客户端再...
Java进阶SSO单点登录技术CAS-快速上手与原理探究视频教程
06-09
本课程主要通过CAS来实现SSO,本教程会从最基本的基础知识讲起,由浅入深再到实战,完成多应用的单点登录功能。 本课程内容如下: 1、 什么是SSOCAS 2、 CAS Server服务端客户端的搭建配置 3、 单点登录单...
SSO单点登录)技术漫谈
magictong的专栏
01-10 9678
回到Web1.0时代,这里有“世界上最好的语言”PHP,也有新贵JSP等等,每个企业都有大量的内部应用系统(譬如oa系统,hr系统,休假系统……),小的企业可能十几个应用,大的可能有成千上万个系统,而且很可能每个系统都还是不同的语言写的。 在日常工作中,人类为了能进入各个系统,必须得通过帐号密码进行登录验证(身份验证)后,才能获取到跟自己身份相符的信息。那么问题来了,这么多的系统,每个系统都搞一个密码的话,大多数用户都要记忆不少于10个用户名相应密码。为了便于记忆,很多人都在不同的站点使用相同的……
聊聊单点登录(SSO)中的CAS认证
虚幻私塾
09-16 1295
随着企业的发展,一个大型系统里可能包含 n 多子系统, 用户在操作不同的系统时,需要多次登录,很麻烦,我们需要一种全新的登录方式来实现多系统应用群的登录,这就是单点登录。web 系统 由单系统发展成多系统组成的应用群,复杂性应该由系统内部承担,而不是用户。无论 web 系统内部多么复杂,对用户而言,都是一个统一的整体,也就是说,用户访问 web 系统的整个应用群与访问单个系统一样,登录/注销 只要1次就够了即单点登录,一种对于许多相互关联,但是又是各自独立的软件系统,提供访问控制的方法。
Jtoken SSO单点登录模块
04-21
在开发系统的时候,需要用到单点登录系统,查了很多资料,最后选用了这个方案,解压包里有代码,有使用文档,这个比较简单好用一些,
45.双token无感熟悉以及解决sso单点登录限制
YouMing_Li的博客
11-30 3934
上文已经介绍了jwt的基本原理用法,,本文将介绍双token机制,以及sso单点登录
SSO-Token,服务器端实现
u010186896的专栏
06-15 8678
最近在项目中遇到了一个单点登录的问题,就做了一个研究了下并做了实验,并分享给大家,有意见请指正~~~~ 关于SSO的定义等一些相关的问题请自行百度,这里只说实现~~~~~~ 首先呢,我做的SSO的实现在验证等操作全部是在服务器端实现的: 思路如下: 1、用户登录后,生成一个16位长度的Token字符串 2、将Token发回到客户端,在服务器端,将生成的Token用户信息放到一个全局唯一
前端登录,这一篇就够了
u011192674的博客
07-03 2116
前端登录,这一篇就够了 登录是每个网站中都经常用到的一个功能,在页面上我们输入账号密码,敲一下回车键,就登录了,但这背后的登录原理你是否清楚呢?今天我们就来介绍几种常用的登录方式。 Cookie + Session 登录Token 登录SSO 单点登录OAuth 第三方登录 Cookie + Session 登录 HTTP 是一种无状态的协议,客户端每次发送请求时,首先要服务器端建立一个连接,在请求完成后又会断开这个连接。这种方式可以节省传输时占用的连接资源,但同时也存在一个问题:每次请求都是独立的,
sso单点登录token中心化实现
10-27 611
单点登录SSO):Session+Cookie、Token与双Token模式》
2301_79896470的博客
03-02 1136
单点登录(Single Sign-On,简称SSO)是一种身份验证机制,允许用户使用一组凭据(通常是用户名密码)登录到一个系统后,无需再次输入凭据即可访问其他相关系统。SSO的主要目的是简化用户的登录过程,提高用户体验,并减少用户在多个系统中管理多个账户的负担。
单点登录sso
weixin_44390164的博客
09-16 596
1. 具体流程 用户访问app1系统,app1系统时需要登录的,但现在用户没有登录 跳转到SSO登录系统,SSO系统也没有登录,弹出用户登录页 用户提交账户密码,SSO系统进行认证后,将登录状态写入SSO的session(session存储在redis中),并给浏览器中写入SSO域下的Cookie(保存sessionId) SSO系统登录完成后会生成一个token。同时将token作为参数传递给app1系统(重定向中的参数) app1系统拿到token后,从后台向SSO系统发送请求,验证token
CAS单点登录实战教程:从基础到原理解析
"本视频教程详细介绍了如何使用CAS实现SSO单点登录技术,涵盖了从基础知识到实战的全过程,适合希望学习理解SSO机制的Java开发者。" 在Java开发领域,SSO(Single Sign-On)是一种允许用户在一次认证后访问多个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一个前端人

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值