单点登录最全详解，建议收藏！

单点登录（SSO）的核心在于：集中式的认证服务器（如 ：CAS Server）管理用户身份，并通过票据机制在不同应用之间共享认证信息。

单点登录

单点登录全程是Single Sign On，简称 ”SSO“，是一种认证机制，通过一次性验证用户身份，提供对多个系统的访问。

图片

举一个例子，比如：阿里集团有多个网站，比如：淘宝、天猫........等等，如下图所示：

图片

单点登录，就在淘宝、天猫、聚划算...等的最外面，也就是说用户登录任何一个系统，剩余系统都可以登录。

也就说：只需一次登录便，可访问所有这些系统，而无需在每个系统中重复登录。

所以，单点登录(SSO)， 极大地简化了用户的认证过程，提升了用户体验。

而且，通过统一的身份认证，可以更好地控制、和审计用户的访问行为，减少密码泄露的风险。

单点登录实现原理

从上面知道了单点登录的价值，下面如果是你，你应该怎么来"实现单点登录呢"？

单点登录实现，如下图所示：

图片

单点登录通常通过，以下步骤来实现：

Step 1: 用户访问应用A

比如：用户尝试访问系统、或应用 A。

比如：用户试图访问受保护资源，（例如:https://app.mikechen.cc/dashboard），该资源要求用户进行身份验证。

Step 2: 重定向到认证服务器

应用 A 检查用户是否已登录，如果没有登录，应用 A 会将用户重定向到， SSO 认证服务器。

比如：CAS客户端，会将用户的浏览器重定向到CAS服务器的登录URL。

比如：https://cas.mikechen.cc/login?service=https://app.mikechen.cc/dashboard。

如下图所示：

图片

然后，用户认证

CAS服务器接受用户的登录请求，验证用户的身份信息（如:用户名、和密码）。

如果验证成功，”SSO 服务器“，生成一个用于标识该用户的令牌（Token）。

然后，分发令牌

如果，认证成功后，SSO 服务器会将令牌返回给应用 A。

比如：CAS服务器，会生成一个Service Ticket（ST），这是一个一次性使用的票据，用于CAS客户端向CAS服务器验证用户身份。

应用 A 接收到令牌后，创建会话并允许用户访问资源。

最后，用户在多个系统间切换

这个时候，当用户尝试访问系统、或应用 B 时，应用 B 会向 SSO 服务器验证用户身份。

如果用户已经在 SSO 服务器登录，SSO 服务器会直接返回有效的令牌，无需再次输入凭证。

最后，用户在 SSO 系统内的多个应用之间切换时，只需要一次登录，后续访问都会自动通过。

单点登录实现挑战

单点故障

认证中心成为关键点，如果它出现问题，所有系统的认证流程都会受影响。

比如：在SSO系统中，认证中心（如CAS服务器）是所有用户认证的关键组件。

如果认证中心出现故障，所有依赖它的应用系统将无法完成用户认证，导致系统的访问中断。

比如：可以通过负载均衡器，将用户请求分发到多个CAS服务器实例。

这样，即使一个CAS服务器出现故障，负载均衡器可以将请求转发到其他健康的服务器。

复杂性

实现和维护SSO系统比普通认证系统复杂，涉及的协议和安全性要求较高。

比如：实现和维护SSO系统比普通的认证系统复杂，涉及多个协议和安全性要求、

例如：CAS、OAuth2.0、SAML...等，每种协议有其独特的配置要求和实现细节，增加了系统的复杂性。

跨域问题

不同域名之间的SSO需要处理跨域通信问题，比如：通过CORS设置、或使用OAuth的授权码模式。

单点登录应用

单点登录适用于多种场景，常见的应用场景包括：

企业内部系统

企业通常拥有多个业务系统，如：人力资源系统、财务系统、邮件系统...等。

通过 SSO，员工可以通过一次登录访问所有这些系统，提高工作效率。

在线服务平台

互联网公司往往提供多个在线服务，如：邮件、云存储、社交网络...等。

通过 SSO，用户只需一次登录即可访问所有服务，提供无缝体验。

电子商务系统

比如：上面我提到的，阿里包含：淘宝、天猫...等等系统，通过 SSO，用户可以通过一个账号访问所有这些服务。

总之，单点登录（SSO）是一种解决多系统认证问题的有效机制，通过一次登录让用户无缝访问多个系统。

单点登录（SSO）的核心在于：集中式的认证服务器（如 ：CAS Server）管理用户身份，并通过票据机制在不同应用之间共享认证信息。