单点登录(SSO)业务

已于 2023-10-22 13:07:39 修改
阅读量260 收藏 1
点赞数 1
分类专栏: 业务与架构 计算机与网络 文章标签: 单点登录 SSO
于 2021-06-09 15:13:18 首次发布

目录

一、什么是单点登录?

二、回顾单系统登录

三、多系统登录的问题与解决

1、 Session不共享问题

2、Cookie跨域的问题

3、CAS原理

原文链接:面试官:你连SSO都不懂,就别来面试了-CSDN博客

一、什么是单点登录?

单点登录的英文名叫做:Single Sign On(简称SSO)。

初学/以前的时候,一般我们就单系统,所有的功能都在同一个系统上。

所有的功能都在同一个系统上

后来,我们为了合理利用资源和降低耦合性,于是把单系统拆分成多个子系统。

拆分成多个子系统

比如阿里系的淘宝和天猫,很明显地我们可以知道这是两个系统,但是你在使用的时候,登录了天猫,淘宝也会自动登录。简单来说,单点登录就是在多个系统中,用户只需一次登录,各个系统即可感知该用户已经登录。

二、回顾单系统登录

一般,单系统实现登录会这样做:

  • 登录:将用户信息保存在Session对象中
  • 如果在Session对象中能查到,说明已经登录
  • 如果在Session对象中查不到,说明没登录(或者已经退出了登录)
  • 注销(退出登录):从Session中删除用户的信息
  • 记住我(关闭掉浏览器后,重新打开浏览器还能保持登录状态):配合Cookie来用

单系统登录的思路:

  • 用户登录时,验证用户的账户和密码
  • 生成一个Token保存在数据库中,将Token写到Cookie中
  • 将用户数据保存在Session中
  • 请求时都会带上Cookie,检查有没有登录,如果已经登录则放行

三、多系统登录的问题与解决

1、 Session不共享问题

单系统登录功能主要是用Session保存用户信息来实现的,但我们清楚的是:多系统即可能有多个Tomcat,而Session是依赖当前系统的Tomcat,所以系统A的Session和系统B的Session是不共享的。

系统A的Session和系统B的Session是不共享的

解决系统之间Session不共享问题有一下几种方案:

  • Tomcat集群Session全局复制(集群内每个tomcat的session完全同步)【会影响集群的性能呢,不建议】
  • 根据请求的IP进行Hash映射到对应的机器上(这就相当于请求的IP一直会访问同一个服务器)【如果服务器宕机了,会丢失了一大部分Session的数据,不建议】
  • 把Session数据放在Redis中(使用Redis模拟Session)【建议】
    • 如果还不了解Redis的同学,建议移步(Redis合集)

我们可以将登录功能单独抽取出来,做成一个子系统。

抽取出来成为子系统

SSO 登录思路:

  • 将登陆功能抽取为一个系统(SSO),其他系统请求SSO进行登录
  • 本来将用户信息存到Session,现在将用户信息存到Redis

具体实现:

  • SSO系统生成一个token,并将用户信息存到Redis中,并设置过期时间
  • 其他系统请求SSO系统进行登录,得到SSO返回的token,写到Cookie中
  • 每次请求时,Cookie都会带上,拦截器得到token,判断是否已经登录。

2、Cookie跨域的问题

上面我们解决了Session不能共享的问题,但其实还有另一个问题。Cookie是不能跨域的。

比如说,我们请求<https://www.google.com/>时,浏览器会自动把google.com的Cookie带过去给google的服务器,而不会把<https://www.baidu.com/>的Cookie带过去给google的服务器。

这就意味着,由于域名不同,用户向系统A登录后,系统A返回给浏览器的Cookie,用户再请求系统B的时候不会将系统A的Cookie带过去。

针对Cookie存在跨域问题,有几种解决方案:

  • 服务端将Cookie写到客户端后,客户端对Cookie进行解析,将Token解析出来,此后请求都把这个Token带上就行了
  • 多个域名共享Cookie,在写到客户端的时候设置Cookie的domain。
  • 将Token保存在SessionStroage中(不依赖Cookie就没有跨域的问题了)

到这里,我们已经可以实现单点登录了。

3、CAS原理

说到单点登录,就肯定会见到这个名词:CAS (Central Authentication Service),下面说说CAS是怎么搞的。

如果已经将登录单独抽取成系统出来,我们还能这样玩。现在我们有两个系统,分别是 www.java3y.com和www.java4y.com,一个 SSOwww.sso.com。

现在我们有三个系统

首先,用户想要访问系统Awww.java3y.com受限的资源(比如说购物车功能,购物车功能需要登录后才能访问),系统Awww.java3y.com发现用户并没有登录,于是重定向到sso认证中心,并将自己的地址作为参数。请求的地址:www.sso.com?service=www.java3y.com

sso认证中心发现用户未登录,将用户引导至登录页面,用户进行输入用户名和密码进行登录,用户与认证中心建立全局会话(生成一份Token,写到Cookie中,保存在浏览器上)。

4步过程

随后,认证中心重定向回系统A,并把Token携带过去给系统A,重定向的地址:www.java3y.com?token=xxxxxxx

接着,系统A去sso认证中心验证这个Token是否正确,如果正确,则系统A和用户建立局部会话(创建Session)。到此,系统A和用户已经是登录状态了。

第五步和第六步

此时,用户想要访问系统Bwww.java4y.com受限的资源(比如说订单功能,订单功能需要登录后才能访问),系统Bwww.java4y.com发现用户并没有登录,于是重定向到sso认证中心,并将自己的地址作为参数。请求的地址:www.sso.com?service=www.java4y.com

注意,因为之前用户与认证中心www.sso.com已经建立了全局会话(当时已经把Cookie保存到浏览器上了),所以这次系统B重定向到认证中心www.sso.com是可以带上Cookie的。

认证中心根据带过来的Cookie发现已经与用户建立了全局会话了,认证中心重定向回系统B,并把Token携带过去给系统B,重定向的地址:www.java4y.com?token=xxxxxxx

接着,系统B去sso认证中心验证这个Token是否正确,如果正确,则系统B和用户建立局部会话(创建Session)。到此,系统B和用户已经是登录状态了。

系统B的流程图

看到这里,其实SSO认证中心就类似一个中转站

weixin79893765432...
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SSO单点登录实现与实现原理
07-06
内含SSO单点登录的实现源代码,以及实现原理详解,有需要的可以看看。
SSO单点登录原理
不甘愿只写代码的程序员~
11-30 573
什么是SSO单点登录( Single Sign-On , 简称 SSO )是目前比较流行的服务于企业业务整合的解决方案之一 SSO 使得在多个应用系统中,用户只需要 登录一次 就可以访问所有相互信任的应用系统 SSO 主要实现方式 共享 cookies 基于共享同域的 cookie 是 Web 刚开始阶段时使用的一种方式,它利用浏览同域名之间自动传递 cookies 机制,实现两个域名之间系统
单点登录业务实现
JFIA的博客
03-24 306
单点登录 单点登录(Single Sign On),简称为 SSO,是比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。一句话概括:一次登陆,处处访问。 解决: 用户身份信息独立管理,更好的分布式管理。 可以自己扩展安全策略 跨域问题 单点登录容易造成认证服务器的压力过大,因为单点登录的核心是需要一个认证中心来验证和生成t...
单点登录SSO的实现原理
weixin_33813128的博客
03-30 60
http://blog.csdn.net/cutesource/article/details/5838693 单点登录SSO(Single Sign On)说得简单点就是在一个多系统共存的环境下,用户在一处登录后,就不用在其他系统中登录,也就是用户的一次登录能得到其他所有系统的信任。单点登录在 大型网站里使用得非常频繁,例如像阿里巴巴这样的网站,在网站的背后是成百上千的子系统,用户一次操作或交...
登录业务介绍(单点登录
Leon_Jinhai_Sun的博客
08-09 241
用户登录业务介绍 单一服务器模式 早期单一服务器,用户认证。 缺点:单点性能压力,无法扩展 SSO(single sign on)模式 分布式,SSO(single sign on)模式 优点: 用户身份信息独立管理,更好的分布式管理。 可以自己扩展安全策略 缺点: 认证服务器访问压力较大。 Token模式 业务流程图{用户访问业务时,必须登录的流程} 优点: 无状态:token无状态,session有状态的 基于标准化:你的API可以采用...
asp.net SSO单点登录例子
12-22
比如我们有个域名叫做:a.com,同时有两个业务系统分别为:app1.a.com和app2.a.com。我们要做单点登录(SSO),需要一个登录系统,叫做:sso.a.com
单点登录sso
05-30
single sign on(sso单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统
SSO 单点登录实例
08-11
SSO 单点登录(Single Sign On)的简称, SSO是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。
Spring Security基于JWT实现SSO单点登录详解
08-25
主要介绍了Spring Security基于JWT实现SSO单点登录详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
web-sso单点登录源码
10-29
本文从业务的角度分析了单点登录的需求和应用领域;从技术本身的角度分析了单点登录技术的内部机制和实现手段,并且给出Web-SSO和桌面SSO的实现、源代码和详细讲解;还从安全和性能的角度对现有的实现技术进行进一步...
单点登录介绍
qq_45441466的博客
02-01 133
1. 用户登录业务介绍 1.1.单一服务器模式 早期单一服务器,用户认证。 缺点:单点性能压力,无法扩展 1.2.SSO(single sign on)模式 分布式,SSO(single sign on)模式 优点: 用户身份信息独立管理,更好的分布式管理。 可以自己扩展安全策略 缺点: 认证服务器访问压力较大。 1.3.Token模式 业务流程图{用户访问业务时,必须登录的流程} 优点: 无状态:token无状态,...
单点登录(SSO)原理
qq_26496077的博客
03-24 2812
什么是单点登录 单点登录,即SSO(Single Sign On),是指在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统 单点登录实现原理 当访问某个系统时,先从session中获取用户信息,如果为null,则自动跳转到登录服务器(url中带上系统1浏览器的访问路径)进行登录,登录成功后,生成一个token,将token:用户信息放入到redis缓存中,并将token_id:token存入登录服务器的cookie中,然后重定向到系统1浏览器(带上token). 系统1浏览器..
单点登录简介
Elena_wang的专栏
02-20 1798
单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。 1概述 单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。 通常情
SSO单点登录的实现原理是怎样的
lvjun106
06-10 743
转:http://www.hello-code.com/question/architecture/201407/1632.html   单点登录在现在的系统架构中广泛存在,他将多个子系统的认证体系打通,实现了一个入口多处使用,而在架构单点登录时,也会遇到一些小问题,在不同的应用环境中可以采用不同的单点登录实现方案来满足需求。我将以我所遇到的应用环境以及在其中所经历的各个阶段与大家分享,若有...
sso java 单点登录下载
最新发布
09-07
### 回答1: SSO,即Single Sign-On,是一种登陆认证机制,它的主要作用是在多个应用系统中实现用户的身份认证和权限验证,用户只需要在一个系统中进行一次登陆,就可以在其他系统中实现无缝登录。 在Java中,实现SSO通常需要使用相关的框架和库。常用的SSO框架有CAS,Shiro,OAuth2等。其中,CAS较为流行,它是一个开源的SSO框架,可以很方便地实现用户的认证和授权。CAS分为Server端和Client端,Server端提供认证服务,Client端调用Server端接口实现认证。 在CAS中,用户在登陆页面输入用户名和密码后,会将认证信息发送到Server端进行认证,在认证成功后,用户会获取到一个ticket,然后将ticket传递给Client端,Client端再将ticket发送给Server端进行验证,如果验证成功,则表明用户的身份已经被认证,可以进行相关操作。 在下载SSO Java单点登录的过程中,需要先选择合适的SSO框架,然后下载相应的jar包和配置文件。具体下载步骤可参考各个框架的官网文档。另外,在使用SSO过程中,还需要对应用系统进行相应的配置和代码开发,以便实现与SSO框架的集成。 ### 回答2: 单点登录SSO)是一种身份验证和授权系统,它允许用户一次登录便可访问多个相互信任的应用程序。在Java中实现SSO的过程通常涉及下载相关的组件或框架。 要实现Java中的SSO,可以利用现有的开源框架,如Spring Security、Apache Shiro等。这些框架提供了一套用于身份验证和授权的成熟解决方案。 首先,您可以在Web服务器上下载和配置所需的框架。例如,对于Spring Security,您可以在官方网站上下载相应的jar文件,并将其添加到Java项目的类路径中。在下载和配置框架之前,确保您已经具备必要的Java开发环境和服务器环境。 接下来,您需要在Java项目中配置SSO的相关设置。这通常涉及配置用户身份验证和授权的规则、配置用户会话管理以及定义用户登录和注销的行为。具体的配置方式因框架而异,您可以参考框架的官方文档或在线教程进行操作。 一旦配置完成,您可以通过Java代码访问SSO功能。例如,您可以使用框架提供的API来验证用户的身份、检查用户的访问权限以及创建用户会话。这些操作可以根据具体的业务需求进行自定义。 最后,您可以使用Java中的SSO来扩展您的应用程序。通过SSO,用户可以一次登录便可访问多个应用程序,从而提高用户体验和减少重复登录的次数。这样,用户可以在不同的应用程序中共享身份验证和授权信息,从而简化用户在多个应用程序之间的切换操作。 总之,实现Java中的SSO可以通过下载和配置相关的框架来实现。在配置完毕后,您可以利用框架提供的API来实现身份验证、授权和会话管理等功能。这样,您可以为用户提供一次登录即可访问多个应用程序的便利性。 ### 回答3: 单点登录(Single Sign-On,简称SSO)是一种身份认证的解决方案,通过一次登录就可以访问多个应用系统,无需再次输入账号和密码。 Java是一种广泛使用的编程语言,可以通过编写相应的代码来实现SSO功能。 要实现SSO功能,首先需要在服务器端搭建一个身份认证中心(Identity Provider,简称IdP),用于验证用户的身份。Java的开源框架如Spring Security可以帮助我们实现这一部分的功能。 在客户端应用中,我们需要集成SSO客户端库,例如OpenID Connect或者SAML,来与IdP进行通信。Java也提供了相关的开源库用于实现这些协议。 当用户访问一个需要身份认证的应用时,应用会重定向用户到IdP的登录页面。用户输入正确的账号和密码后,IdP会生成一个令牌(token),并将该令牌返回给客户端应用。 客户端应用在接收到令牌后,会将其存储在本地,用于后续的应用访问。下次用户访问其他需要身份认证的应用时,客户端应用会将令牌发送给IdP进行验证,验证通过后用户无需再次输入账号和密码。 通过Java编写的SSO应用,可以在不同的Java应用系统中实现单点登录,提高用户的登录体验和便捷性。同时,Java的广泛使用和成熟的开源生态系统,也为SSO功能的实现提供了丰富的工具和库。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值