单点登录

1、单点登录
概述
单点登录的英文名称为Single Sign-On，简写为SSO，它是一个用户认证的过程，允许用户一次性进行认证之后，就访问系统中不同的应用；而不需要访问每个应用时，都重新输入密码。
为什么要用SSO
随着企业的发展，业务系统的数量在不断的增加，老的系统却不能轻易的替换，这会带来很多的开销。其一是管理上的开销，需要维护的系统越来越多。很多系统的数据是相互冗余和重复的，数据的不一致性会给管理工作带来很大的压力。业务和业务之间的相关性也越来越大，例如公司的计费系统和财务系统，财务系统和人事系统之间都不可避免的有着密切的关系。
为了降低管理的消耗，最大限度的重用已有投资的系统，很多企业都在进行着企业应用集成（EAI）。企业应用集成可以在不同层面上进行：例如在数据存储层面上的“数据大集中”，在传输层面上的“通用数据交换平台”，在应用层面上的“业务流程整合”，和用户界面上的“通用企业门户”等等。事实上，还用一个层面上的集成变得越来越重要，那就是“身份认证”的整合，也就是“单点登录”。
通常来说，每个单独的系统都会有自己的安全体系和身份认证系统。整合以前，进入每个系统都需要进行登录，这样的局面不仅给管理上带来了很大的困难，在安全方面也埋下了重大的隐患。下面是一些著名的调查公司显示的统计数据：
用户每天平均 16 分钟花在身份验证任务上 - 资料来源： IDS
频繁的 IT 用户平均有 21 个密码 - 资料来源： NTA Monitor Password Survey
49% 的人写下了其密码，而 67% 的人很少改变它们
每 79 秒出现一起身份被窃事件 - 资料来源：National Small Business Travel Assoc
全球欺骗损失每年约 12B - 资料来源：Comm Fraud Control Assoc
到 2007 年，身份管理市场将成倍增长至 $4.5B - 资料来源：IDS
使用“单点登录”整合后，只需要登录一次就可以进入多个系统，而不需要重新登录，这不仅仅带来了更好的用户体验，更重要的是降低了安全的风险和管理的消耗。请看下面的统计数据：
提高 IT 效率：对于每 1000 个受管用户，每个用户可节省$70K
帮助台呼叫减少至少1/3，对于 10K 员工的公司，每年可以节省每用户 $75，或者合计 $648K
生产力提高：每个新员工可节省 $1K，每个老员工可节省 $350 �资料来源：Giga
ROI 回报：7.5 到 13 个月 �资料来源：Gartner
另外，使用“单点登录”还是SOA时代的需求之一。在面向服务的架构中，服务和服务之间，程序和程序之间的通讯大量存在，服务之间的安全认证是SOA应用的难点之一，应此建立“单点登录”的系统体系能够大大简化SOA的安全问题，提高服务之间的合作效率。

实现机制
实现机制主要有ticket、cookie 、session等.
Ticket实现
当用户第一次访问应用系统1的时候，因为还没有登录，会被引导到认证系统中进行登录；根据用户提供的登录信息，认证系统进行身份效验，如果通过效验，应该返回给用户一个认证的凭据－－ticket；用户再访问别的应用的时候，就会将这个ticket带上，作为自己认证的凭据，应用系统接受到请求之后会把ticket送到认证系统进行效验，检查ticket的合法性。如果通过效验，用户就可以在不用再次登录的情况下访问应用系统2和应用系统3了。
Cookie实现
Cookie是一种客户端机制，它存储的内容主要包括: 名字、值、过期时间、路径和域，路径与域合在一起就构成了Cookie的作用范围，因此用Cookie方式可实现SSO，但域名必须相同
Session实现
Session是一种服务器端机制，当客户端访问服务器时，服务器为客户端创建一个惟一的SessionID，以使在整个交互过程中始终保持状态，而交互的信息则可由应用自行指定，因此用Session方式实现SSO，不能在多个浏览器之间实现单点登录，但却可以跨域
单点登录的计算实现机制
Ticket 实现机制
单点登录的机制下图所示，当用户第一次访问应用系统1的时候，因为还没有登录，会被引导到认证系统中进行登录（1）；根据用户提供的登录信息，认证系统进行身份效验，如果通过效验，应该返回给用户一个认证的凭据－－ticket（2）；用户再访问别的应用的时候（3，5）就会将这个ticket带上，作为自己认证的凭据，应用系统接受到请求之后会把ticket送到认证系统进行效验，检查ticket的合法性（4，6）。如果通过效验，用户就可以在不用再次登录的情况下访问应用系统2和应用系统3了。

上图中的简单SSO实现必须主要两点，第一，所有应用系统共享一个身份认证系统，第二，所有应用系统能够识别和提取ticket信息。在现实情况下的SSO有着更加复杂的结构。有两点需要指出的是：
1.单一的用户信息数据库并不是必须的，有许多系统不能将所有的用户信息都集中存储，应该允许用户信息放置在不同的存储中，如下图所示。事实上，只要统一认证系统，统一ticket的产生和效验，无论用户信息存储在什么地方，都能实现单点登录。

2.统一的认证系统并不是说只有单个的认证服务器，如下图所示，整个系统可以存在两个以上的认证服务器，这些服务器甚至可以是不同的产品。认证服务器之间要通过标准的通讯协议，互相交换认证信息，就能完成更高级别的单点登录。如下图，当用户在访问应用系统1时，由第一个认证服务器进行认证后，得到由此服务器产生的ticket。当他访问应用系统4的时候，认证服务器2能够识别此ticket是由第一个服务器产生的，通过认证服务器之间标准的通讯协议（例如SAML）来交换认证信息，仍然能够完成SSO的功能

应用实例
主站：Passport集中验证服务器 http://www.passport.com/ 。
分站：http://www.a.com/、http://www.b.com/、http://www.c.com/    
凭证：用户登录后产生的数据标识，用于识别授权用户，可为多种方式，DEMO中主站我使用的是Cache，分站使用Session。
令牌：由Passport颁发可在各分站中流通的唯一标识。
单点登录的过程：
情形一、匿名用户：匿名用户访问分站a上的一个授权页面，首先跳转到主站让用户输入帐号、密码进行登录，验证通过后产生主站凭证，同时产生令牌，跳转回分站a，此时分站a检测到用户已持有令牌，于是用令牌再次去主站获取用户凭证，获取成功后允许用户访问该授权页面。同时产生分站a的本地凭证，当该用户需要再次验证时将先检查本地凭证，以减少网络交互。
情形二、在分站a登录的用户访问分站b：因为用户在分站a登录过，已持有令牌，所以分站b会用令牌去主站获取用户凭证，获取成功后允许用户访问授权页面。同时产生分站b的本地凭证。

注：DEMO见测试环境。
WEB SSO实现机制
通过cookie或者session在客户端或服务器上的保存，来实现用户信息的在同一域、或者跨域的情况下的信息共享。
用用实例
Sohu的单点登录实现。
实际应用：Sohu的Passport将focus.cn，17173.com，sogou.com，chinaren.com这四个域名下的产品全部整合在一起了。用户在这四个站点中任何一个地方都可以登录。当用户登录后可以自由的使用其他域名下的服务。实现过程如下
1.在 passport.sohu.com 上登录
2.当用户在Passport成功登录后。客户端的Javascript根据成功登录的标志，操作iframe请求http://passport.sohu.com/sso/crossdomain_all.jsp?action=login 因为在同一个域名下，没有跨域，在这次请求中，上次成功登陆的cookie会被一并带着回去。服务器端检查到成功登录的cookie后会Render回一段同时登录多个站点的html。如
3.服务器看到成功登录的Cookie后。在服务器端计算出一个加密后的17173.com的登录Url，并Redirect到这个Url。
4.17173.com从url的QueryString中取得信息。并在Response中设置Cookie。这个Cookie终于写到了17173.com下。而不是passport.sohu.com下。从而使得用户在17173.com下登录。其实用户在17173.com下手动登录也是写上同样的Cookie。以后用户再访问17173.com的页面时这个Cookie会被带回去。这就表示用户在17173.com下成功登录过了。
在上面的过程中，最核心的技巧就是在指定的域下写入想要的Cookie。
单一登录 Web 应用程序的企业级安全系统
单一登录解决方案概述
图 1 所示为内部用户和外部用户在登录到位于一个公司的 Intranet 上的网站时所执行的一系列步骤。在 50,000 英尺的级别上，这个系统仅有四个组件：通过 Windows 身份验证的网站、Active Directory、一个数据库服务器和一个或多个基于窗体进行身份验证的网站。

图 1 ：涵盖内部用户和外部用户的单一登录解决方案的示例
Intranet 解决方案
在图 1 的左上角可以看到内部用户使用浏览器浏览到特定的网站（第 1 步）。这个网站验证（第 2 步）用户的 Windows 凭据（通过 Active Directory）。如果用户是有效的 Windows 用户，则允许其进入该站点。通过身份验证后，将检索用户的标识，并调用包含指定用户能够运行的应用程序列表的数据库表（第 3 步）。这些应用程序将显示在 DataGrid 中，以供用户选择。
用户单击希望运行的应用程序后，将生成一个唯一的、只能使用一次的令牌（第 4 步）。此令牌和用户标识将被存储在另一个数据库表中。然后此令牌被传递给用户要运行的 Web 应用程序中的一个特定页面（通过查询行）。此特殊页面从查询行读取该令牌，然后验证在数据库表中是否存在此令牌（第 5 步）。如果令牌存在，它将在数据库中检索登录 ID，然后删除存储此令牌的记录。此操作能够防止其他人再次使用此令牌并将登录 ID 发送回 Web 应用程序。
在了解了 Web 应用程序中的用户标识后，您需要生成一个 ASP.NET 窗体身份验证票据，因为在 Intranet 中，所有的 Web 应用程序都将使用基于窗体的身份验证。此票据将被正在浏览站点中所有的安全页面的用户所使用。
Extranet 解决方案
想要访问 Web 应用程序的外部用户（您所在域之外的用户）将被定向到与内部用户不同的起始页面（参见图 2）。内部用户和外部用户被定向到的 Web 应用程序采取了基于窗体的身份验证的安全措施。当外部用户试图打开此 Web 应用程序中的任何页面时，他们将被自动重定向至登录页面。此登录页面与对内部用户进行身份验证的页面不同。用户必须输入其凭据，然后系统将调用同一个数据库，以确定该用户对此应用程序是否有效。如果有效，则将为此用户会话生成正常的基于窗体的身份验证 cookie。

附表设计

单点登录实现应注意的事项

1.选择合适的方案解决公司的实际问题。
2.公司其他系统的改造问题难度、时间等问题的考虑，如其他的业务系统没有源码和接口，如果操作？
3.是否适应未来发展需要，单点登录实现不仅要能解决现在的系统登录集成问题，也能适应将来的需要，能简单的实现与其他系统的结合，或者说有一个集成的规范。
4.单点登录与AD域的结合。
5.性能和安全性，单点登录的解决方案要有较高的安全性，同时性能方面也不会对其他系统产生影响，如在加密的问题，如果加密复杂造成解密时间较长。
6.多个系统用户、部门、机构的管理问题，以及详细信息的管理。
7.系统角色、权限的管理。

参考：
http://msdn.microsoft.com/zh-cn/library/ms972971.aspx
http://www.cnblogs.com/mfm11111/archive/2009/03/02/1401835.html
http://blog.csdn.net/javachannel/article/details/752437