单点登录（SSO）_免改造身份认证-CSDN博客

本文链接：https://blog.csdn.net/qq_42822007/article/details/107407585

概念：

单点登录(SingleSignOn，SSO)，就是通过用户的一次性鉴别登录。当用户在身份认证服务器上登录一次以后，即可获得访问单点登录系统中其他关联系统和应用软件的权限，同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的，这意味着在多个应用系统中，用户只需一次登录就可以访问所有相互信任的应用系统。这种方式减少了由登录产生的时间消耗，辅助了用户管理。

特点：

单点登录：用户只需登录一次，即可通过单点登录系统（eTrueSSO）访问后台的多个应用系统，二次登陆时无需重新输入用户名和密码
C/S单点登录解决方案：无需修改任何现有的应用系统服务端和客户端即可实现C/S单点登录系统
即装即用：通过简单的配置，无须用户修改任何现有B/S、C/S应用系统即可使用
应用灵活性：内嵌金万维动态域名解析系统（gnHost），可独立实施，也可结合金万维异速联/天联产品使用
基于角色访问控制：根据用户的角色和URL实现访问控制功能
全面的日志审计：精确地记录用户的日志，可按日期、地址、用户、资源等信息对日志进行查询、统计和分析
集群：通过集群功能，实现多台服务器之间的动态负载均衡
传输加密：支持多种对称和非对称加密算法，保证用户信息在传输过程中不被窃取和篡改
可扩展性：对后续的业务系统扩充和扩展有良好的兼容性

缺点：

不利于重构：因为涉及到的系统很多，要重构必须要兼容所有的系统，可能很耗时
无人看守桌面：因为只需要登录一次，所有的授权的应用系统都可以访问，可能导致一些很重要的信息泄露。

技术实现

认证机制

我们在浏览器（Browser）中访问一个应用，这个应用需要登录，我们填写完用户名和密码后，完成登录认证。这时，我们在这个用户的session中标记登录状态为yes（已登录），同时在浏览器（Browser）中写入Cookie，这个Cookie是这个用户的唯一标识。下次我们再访问这个应用的时候，请求中会带上这个Cookie，服务端会根据这个Cookie找到对应的session，通过session来判断这个用户是否登录。如果不做特殊配置，这个Cookie的名字叫做jsessionid，值在服务端（server）是唯一的。

同域下的单点登录

一个企业一般情况下只有一个域名，通过二级域名区分不同的系统。比如我们有个域名叫做：a.com，同时有两个业务系统分别为：app1.a.com和app2.a.com。我们要做单点登录（SSO），需要一个登录系统，叫做：sso.a.com。

我们只要在sso.a.com登录，app1.a.com和app2.a.com就也登录了。通过上面的登陆认证机制，我们可以知道，在sso.a.com中登录了，其实是在sso.a.com的服务端的session中记录了登录状态，同时在浏览器端（Browser）的sso.a.com下写入了Cookie。那么我们怎么才能让app1.a.com和app2.a.com登录呢？这里有两个问题：

Cookie是不能跨域的，我们Cookie的domain属性是sso.a.com，在给app1.a.com和app2.a.com发送请求是带不上的。
sso、app1和app2是不同的应用，它们的session存在自己的应用内，是不共享的。

针对第一个问题，sso登录以后，可以将Cookie的域设置为顶域，即.a.com，这样所有子域的系统都可以访问到顶域的Cookie。我们在设置Cookie时，只能设置顶域和自己的域，不能设置其他的域。比如：我们不能在自己的系统中给baidu.com的域设置Cookie。

Cookie的问题解决了，我们再来看看session的问题。我们在sso系统登录了，这时再访问app1，Cookie也带到了app1的服务端（Server），app1的服务端怎么找到这个Cookie对应的Session呢？这里就要把3个系统的Session共享，如图所示。共享Session的解决方案有很多，例如：Spring-Session。这样第2个问题也解决了。

同域下的单点登录就实现了，但这还不是真正的单点登录。