单点登录:一把钥匙开启所有门

最新推荐文章于 2024-05-06 18:28:28 发布
最新推荐文章于 2024-05-06 18:28:28 发布
阅读量1.2k 收藏 21
点赞数 29
文章标签: 后端 前端 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huanghuozhiye/article/details/136823174
版权

单点登录(SSO)技术,就像是一把开启企业数字化大门的钥匙,让用户一次登录,随处访问,极大地提升了工作效率和用户体验。具体到技术实现上,当用户首次登录时,SSO系统会进行认证,并发放一个凭证(如Token)。当用户尝试访问其他服务时,只需出示这个凭证,而无需再次输入账号密码。这不仅加快了工作流程,还大大减少了因记不住密码而导致的安全风险。

SSO解决方案

单点登录的核心在于:在多个应用系统中,用户只需进行一次登录认证,就可以无缝访问所有相互信任的应用系统。这背后需要一个独立的认证中心,通常称为Passport。

当用户首次尝试访问任一应用系统时,系统会将用户引导至Passport进行认证。一旦认证成功,Passport就会颁发一个令牌给用户。随后,用户携带这个令牌访问其他系统时,无需再次登录,系统会识别该令牌,并授予用户相应的访问权限。

这里会涉及同域名及不同域名两种方式:

  • • 同域名下的SSO:依托Cookie的域属性,可以实现同一个主域名下的各子域应用间共享token,从而实现单点登录。

  • • 跨域名的SSO:对于不同域的应用,可以通过建立一个独立的认证中心,使用令牌机制来实现单点登录。

  • 下图就是针对跨域名的SSO的流程:

图片

在技术实现上,单点登录可以借助如 CAS(Central Authentication Service)、OAuth、OpenID Connect 等标准协议,也可以基于企业内部的自定义协议实现。在整个流程中,要维护一个全局认可的信任票证(token),并通过集中式的认证服务中心来进行身份的统一管理和验证。 CAS(Central Authentication Service)和OAuth 2.0(Open Authorization)都是在网络应用中广泛使用的认证和授权协议。

OAuth 2.0 (Open Authorization)

OAuth 2.0是一个授权框架,允许第三方应用获取对用户资源的有限访问权限,而无需获取用户的凭证。OAuth 2.0更注重授权而非认证。

使用场景:OAuth 2.0广泛应用于互联网服务中,允许用户授权第三方应用访问他们存储在其他服务提供商上的信息,例如我们通过微信授权登录一个小程序或者应用。

工作流程:用户授权第三方应用访问自己在另一个服务上的资源时,该应用将获得一个访问令牌。该令牌允许第三方应用代表用户访问其资源。这个在微信开放平台、支付宝等都有相关接入说明及接口,大家可以去参考下。主要流程如下:

图片

1. 用户请求客户端应用程序访问资源。

2. 客户端应用向授权服务器请求授权。

3. 授权服务器要求用户提供认证。

4. 用户向授权服务器提供认证。

5. 如果认证成功,授权服务器将授权码发送给客户端应用。

6. 客户端应用使用授权码向授权服务器请求访问令牌。

7. 授权服务器向客户端应用发放访问令牌。

8. 客户端应用使用访问令牌向资源服务器请求资源。

9. 资源服务器向客户端应用提供资源。

10. 客户端应用将资源显示给用户。

CAS (Central Authentication Service)

CAS是一种单点登录(SSO)协议,旨在允许用户在多个应用程序间使用单一的认证过程登录。它专注于解决用户认证问题,而不涉及授权。

使用场景:CAS通常用于单一组织或紧密相关组织的内部应用中,提供集中式的用户认证服务。

工作流程:用户首次尝试访问应用时被重定向到CAS服务器进行认证。一旦认证成功,用户就可以无需再次登录即可访问其他集成了CAS的应用。一般公司级的应用都会采用这种方式。

图片

用户未登录访问 app1

1. 用户访问 app1 的受保护资源,app1 发现用户未登录,跳转至统一认证中心,并将自己的地址作为参数

2. sso 认证中心发现用户未登录,将用户引导至登录页面

3. 用户输入用户名密码提交登录

4. 统一认证中心校验用户信息,创建用户与 sso 认证中心之间的会话 TGC,同时创建 Token

5. 统一认证中心带着 Token 跳转最初 app1 的请求地址,浏览器缓存 TGC 及 Token

6. app1 拿到 Token,去统一认证中心校验 Token 是否有效

7. 统一认证中心校验 Token,返回有效

8. app1 使用该 token 创建与用户的会话,返回受保护资源

用户已登录 app1 再次访问 app1

1. 请求携带 Token,app1 请求认证中心确认 Token 是否有效

2. app1 返回受保护资源

用户登录 app1 后访问 app2

1. 用户访问系统 2 的受保护资源,未携带 app2 的 Token

2. app2 发现用户未登录,跳转至统一认证中心登陆页,并将自己的地址作为参数

3. 登陆页拿到 TGC,判断已经登录,跳转到 app2 页面

4. 请求统一认证中心通过 TGC 换取 Token

5. 统一认证中心校验后,返回 Token

6. app2 使用该 Token 创建与用户的局部会话,返回受保护资源

总结

通过实施SSO,企业可以极大地简化用户的登录流程,加强数据安全,提高工作效率。无论是采用CAS还是OAuth 2.0,关键在于选择最适合企业自身需求和现有架构的解决方案。

半亩方塘立身
关注
  • 29
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
什么是单点登录?以及单点登录的实现流程
欢迎来到我的博客
09-04 642
当然仅此是不够的,因为不同的应用系统有着不同的域名,尽管 Session 共享了,但是由于 Session ID 是往往保存在浏览器 Cookie 中的,因此存在作用域的限制,无法跨域名传递,也就是说当用户在。间接授权通过令牌实现,sso认证中心验证用户的用户名密码没问题,创建授权令牌,在接下来的跳转过程中,授权令牌作为参数发送给各个子系统,子系统拿到令牌,即得到了授权,可以借此创建局部会话,局部会话登录方式与单系统的登录方式相同。发送请求是带不上的。sso登录以后,可以将Cookie的域设置为顶域,即.
2024汽车玻璃集成UWB数字钥匙发展研究白皮书-CAICV.pdf
最新发布
07-03
### 汽车玻璃集成UWB数字钥匙发展研究白皮书关键知识点解析 #### 一、汽车数字钥匙概况 **1.1 汽车数字钥匙国内外研究现状** 汽车数字钥匙作为一种新兴技术,在全球范围内受到了广泛关注。随着移动互联网技术的...
第七天: uni-app 最实用的单点登录及权限验证
Huang_wf
05-19 7640
Uni-app 20200519 uni-app 最实用的单点登录及权限验证 登录方法 /** * 登录 */ sumbit () { this.$http.post('/sys/User/login', this.dataForm).then(({ data: res }) => { // 存储token uni.setStorageSync('token', res.token) // 存储用户数据 this.$store.dis
单点登录与第三方登录 + CSRF-XSS-DNS-DDOS-SQL攻击
Java后端技术栈
05-27 2万+
多系统实现单点登录方案:SSO 单点登录 一、什么是单点登录SSO(Single Sign-On)   SSO是一种统一认证和授权机制,指访问同一服务器不同应用中的受保护资源的同一用户,只需要登录一次,即通过一个应用中的安全验证后,再访问其他应用中的受保护资源时,不再需要重新登录验证。 二、单点登录解决了什么问题   解决了用户只需要登录一次就可以访问所有相互信任的应用系统,而不用重复登录。 三、单点登录的技术实现机制   如下图所示:    认证后返回给应用系统而不是用户 注(图片所
2024年安卓最全android 单点登录功能,美团三面和二面岗位不一样
2301_82243558的博客
05-06 674
app进入app时要先获取token,获取token的时候我们要给服务端传递当前设备的设备号,当我们换了设备后设备号变了,返回的token值也就变了,那么原设备的token相对来说就失效了,当在原设备和服务端有交互的时候就会返回token失效,用户登陆注销等要及时更新token值。改变人生,没有什么捷径可言,这条路需要自己亲自去走一走,只有深入思考,不断反思总结,保持学习的热情,一步一步构建自己完整的知识体系,才是最终的制胜之道,也是程序员应该承担的使命。case 99://被踢下线。
单点登录(SSO)看这一篇就够了
乌龟的专栏
03-03 645
单点登录(SSO)
暑期预习2021四年级英语上册Unit2Myschoolbag单元知识点素材人教PEP版202107021104
09-09
9. key - 钥匙:用于开启锁的小物件。 二、了解词汇及短语 1. wow - 哇;呀:表示惊讶或兴奋的感叹词。 2. lost - 丢失:表示某物找不到的状态。 3. cute - 可爱的:形容词,用于形容事物小巧、迷人或者引人喜爱...
基于单片机的遥控开装置
10-14
假设在一个大学宿舍楼里,每位同学都配有一把专用的遥控钥匙。每当他们需要进入房间时,只需按下手中的按钮即可轻松实现远程开。这样既避免了忘记带钥匙导致无法进的问题,同时也大大提高了居住体验。 #### 七...
密码学基础课件:第十三讲 RSA.ppt
06-26
* 双锁到单锁:Alice 和 Bob 各有一把锁和自己的锁的钥匙,互相不能打开对方的锁(即钥匙不一样) * 双钥密码体制:Alice 和 Bob 可以在实际生活中完成保密通信 * 数字化方法:191506... 是 Bob 的密钥,01120608......
酒店vingcard锁系统使用说明书
10-12
非正常情况下,可以使用机械钥匙开启锁。 H. 紧急情况下,使用掌上电脑从管理系统中获得授权后,一小时内可以开启锁,也可以调取开锁信息,每把锁在锁体内保存最后 600 条开锁信息。 卡片/刷卡机 卡片/刷卡机...
cas-server-webapp-4.0.0实现单点登录
11-23
放到tomcat下 就可以运行,进行简单的配置,可以实现单点登录功能
单点登录详解
dfc_dfc的博客
01-29 988
单点登录详解
android 单点登录功能
再见孙悟空的专栏
08-22 1万+
很多伙伴在开发自己公司产品的时候,一般都会考虑用户账号安全 ,或者用户账号功能使用限制等问题。这时候我们就会考虑到单点登录这个功能。 一般情况下我们在开发单点登录功能的时候,其实有很多种做法,这个根据自己的具体需求选择就可以,其实我一直认为很多东西没有绝对的规则,我们其实需要做的是尽量全面的尽可能多的去掌握更多的知识技术,当我们用到的时候可以从中选择出最适合自己的产品的技术,从开发时间,应用性等
单点登录(原理与代码)
追求幸福,探索未知的博客
03-21 4606
单点登录的实现? 什么是单点登录单点登录全称Single Sign On(以下简称SSO),是指在多系统应用群中登录一个系统,便可在其他所有系统中得到授权而无需再次登录,包括单点登录与单点注销两部分。 1、登录 相比于单系统登录,sso需要一个独立的认证中心,只有认证中心能接受用户的用户名密码等安全信息,其他系统不提供登录入口,只接受认证中心的间接授权。间接授权通过令牌实现,sso认证中心验证...
单点登录(SSO)
热门推荐
qq_41913971的博客
01-26 2万+
什么是单点登录单点登录的来源 单点登录技术实现 Cookie的属性详细介绍 Koa Cookie 的设置与获取 利用Node.js koa异步中间件——用户登录验证拦截器
单点登录原理及实现
MrLee的博客
01-01 6222
一,背景 单点登录顾名思义就是在多个应用系统中,只需要登录一次,就可以访问其他相互信任的应用系统,免除多次登录的烦恼。比如我们登录了百度账号,再去百度百科,百度文库就不需要再次登录了。 二,原理说明 单点登录主流都是基于共享 cookie 来实现的,下面分别介绍 同域 和 跨域 下两种场景具体怎样实现共享cookie的。 2.1. 同域单点登录 适用场景:都是企业自己的系统,所有系统都使用同一个一级域名通过不同的二级域名来区分。 举个例子:公司有一个一级域名为 xxx.com ,我们有三个系统分
单点登录的三种实现方式
Ch3nnn的博客
06-23 929
前言 实现方式一:父域 Cookie 实现方式二:认证中心 实现方式三:LocalStorage 跨域 补充:域名分级 前言 在 B/S 系统中,登录功能通常都是基于 Cookie 来实现的。当用户登录成功后,一般会将登录状态记录到 Session 中,或者是给用户签发一个 Token,无论哪一种方式,都需要在客户端保存一些信息(Session ID 或 Token ),并要求客户端在之后的每次请求中携带它们。在这样的场景下,使用 Cookie 无疑是最方便的,因此我们一般都会将 Sessi.
32.什么是单点登录?如何实现?
kleinBlue.的博客
10-21 472
一、是什么 单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一 SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统 SSO 一般都需要一个独立的认证中心(passport),子系统的登录均得通过passport,子系统本身将不参与登录操作 当一个系统成功登录以后,passport将会颁发一个令牌给各个子系统,子系统可以拿着令牌会获取各自的受保护资源,为了减少频繁认证,各个子系统在被passport授权以后,会建立一..
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值