单点登录SSO

最新推荐文章于 2024-05-29 00:46:29 发布
最新推荐文章于 2024-05-29 00:46:29 发布
阅读量861 收藏 24
点赞数 18
分类专栏: 常用模型 文章标签: java 数据库 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53207874/article/details/137009357
版权
本文介绍了单点登录(SSO)的概念,涉及身份提供者、服务提供者和令牌的作用。详细阐述了Cookie、Session和Token三种常见的实现方式,包括它们的工作原理、优缺点及适用场景。同时提到了OAuth2.0在Token方案中的应用。
摘要由CSDN通过智能技术生成

参考链接

一、什么是单点登录

单点登录的英文名叫做:Single Sign On(简称SSO),指在同一帐号平台下的多个应用系统中,用户只需登录一次,即可访问所有相互信任的系统。简而言之,多个系统,统一登陆。

相比于单系统登录,sso需要一个独立的认证中心,只有认证中心能接受用户的用户名密码等安全信息,其他系统不提供登录入口,只接受认证中心的间接授权。间接授权通过令牌实现,sso认证中心验证用户的用户名密码没问题,创建授权令牌,在接下来的跳转过程中,授权令牌作为参数发送给各个子系统,子系统拿到令牌,即得到了授权,可以借此创建局部会话,局部会话登录方式与单系统的登录方式相同。这个过程,也就是单点登录的原理,用下图说明
在这里插入图片描述
SSO 的工作原理通常包括以下几个主要组件:

  • 身份提供者(Identity Provider,IdP):
    身份提供者是负责管理用户身份信息的系统,它会认证用户的身份并颁发令牌。在SSO中,用户首先通过身份提供者进行认证,然后将令牌传递给各个关联的服务提供者。
  • 服务提供者(Service Provider,SP):
    服务提供者是提供实际服务的系统或应用,它会接收来自身份提供者颁发的令牌,并使用该令牌来验证用户身份,从而实现无缝登录体验。
  • 令牌(Token):
    在SSO过程中,身份提供者通常会颁发令牌给用户,用于代表用户的身份信息。这个令牌可以被传递给不同的服务提供者,以便服务提供者可以验证用户身份并授权用户访问相应的资源。

二、单点登录的实现方式

单点登录的实现方案,一般就包含:Cookie、Session、Token参考链接

1.Cookie方案:

流程:

用cookie作为媒介存放用户凭证。 用户登录系统之后,会返回一个加密的cookie,当用户访问子应用的时候会带上这个cookie,授权以解密cookie并进行校验,校验通过后即可登录当前用户。

在这里插入图片描述

缺点:

(1)Cookie不安全:攻击者可以通过伪造Cookie伪造成特定用户身份,可以用加密规避(前提是加密算法不被泄露)。

(2)不能跨域实现免登:Cookie一般是以域名为分割的。如:baidu.com 无法读到 cnblogs.com 写的 cookie。域名是可以访问上级域名的Cookie的。 即a.baidu.com是可以访问baidu.com下的Cookie的。(一级域名相同,只是二级或更高级域名不同的站点,如:a.baidu.com、b.baidu.com可以通过设置 domain 参数共享 cookie 读写。)

补充:域名通过 “.” 号切分后,从右往左看,不包含 “.” 的是顶级域名,包含一个 “.”的是一级域名,如:baidu.com,
包含两个“.”的是二级域名,如:a. baidu.com ,以此类推。

2.Session方案:

流程:
因为是分布式的系统,多服务器是不共享session,传统的单机session不适用于分布式系统中,所以这里使用分布式session。session属于有状态,
实现分布式session有四种方案(session复制、客户端存储、HASH一致性、统一存储)。

流程运行:

(1) 用户第一次登录时,将会话信息(用户Id和用户信息),比如以用户Id为Key,写入分布式Session;
(2) 用户再次登录时,获取分布式Session,是否有会话信息,如果没有则调到登录页;
(3) 一般采用Cache中间件实现,建议使用Redis,因此它有持久化功能,方便分布式Session宕机后,可以从持久化存储中加载会话信息;
(4) 存入会话时,可以设置会话保持的时间,比如15分钟,超过后自动超时;

缺点:

(1)服务器压力增大:通常session是存储在内存中的,每个用户通过认证之后都会将session数据保存在服务器的内存中,而当用户量增大时,服务器的压力增大。(可以将数据保存在磁盘中)
(2)扩展性不强:如果将来搭建了多个服务器,虽然每个服务器都执行的是同样的业务逻辑,但是session数据是保存在内存中的(不是共享的),用户第一次访问的是服务器1,当用户再次请求时可能访问的是另外一台服务器2,服务器2获取不到session信息,就判定用户没有登陆过。(可以使用分布式session将session在各个集群中保持一致)
(3)CSRF跨站伪造请求攻击:session是基于cookie进行用户识别的, cookie如果被截获,用户就会很容易受到跨站请求伪造的攻击。

3.Token方案:

流程:
现如今Token方案登录认证大多采用OAuth2.0方案,这里只是简单实现sso效果,所以没实现OAuth2.0流程。
在这里插入图片描述

缺点:
(1)占用带宽
(2)无法在服务器端销毁(token生成后就返回给了客户端,服务器端无法进行删除)
注:基于微服务开发,选择token的形式相对较多,因此我之后会使用token实现sso

小蜗牛pp
关注
  • 18
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SSO单点登录原理详解
Yilong18的博客
12-06 3054
sso单点登录
单点登录SSO
qq_41913971的博客
01-26 2万+
什么是单点登录单点登录的来源 单点登录技术实现 Cookie的属性详细介绍 Koa Cookie 的设置与获取 利用Node.js koa异步中间件——用户登录验证拦截器
SpringCloud之SSO单点登录-基于Gateway和OAuth2的跨系统统一认证和鉴权详解
最新发布
踏雨歌青春,诗酒趁年华
05-29 1万+
本文详述了如何利用SpringCloud、Gateway和OAuth2实现跨系统的统一认证和鉴权。文章介绍了SSO单点登录的概念和优势,通过具体的配置和代码示例,讲解了如何搭建一个安全、高效的认证中心,实现用户只需一次登录即可访问多个系统的目标,从而提高系统安全性和用户体验。
单点登录(SSO)详解
weixin_58403235的博客
04-04 2万+
在分布式项目架构中,为了提高用户体验性,用户只需要认证一次便可以在多个拥有访问权限的系统中访问,这个功能叫做单点登录SSO)。
单点登录(SSO)详解——超详细
qq_53895518的博客
03-20 1万+
此种实现方式比较简单,但不支持跨主域名。
单点登录(SSO)看这一篇就够了
乌龟的专栏
03-13 9569
单点登录(SSO)看这一篇就够了
SSO单点登录原理详解(从入门到精通)
Mr.mark的博客
07-23 1万+
本文主要对SSO单点登录与CAS、OAuth2.0两种授权协议的关系和原理进行详细说明。 基础知识 SSO单点登录(Single sign-on) 所谓单点登录就是在多个应用系统中,用户只需登录一次就可以访问所有相互信任的系统。 CAS 中央认证服务(Central Authentication Service) CAS是由美国耶鲁大学发起的一个企业级开源项目,旨在为WEB应用系统提供一种可靠的单点登录解决方案(WEB SSO)。 OAuth2.0 开放授权(Open Authorization
单点登录SSO原理.docx
09-04
单点登录(Single Sign-On,简称SSO)是一种身份验证机制,允许用户在一次登录后访问多个相互关联的应用系统,而无需再次输入凭证。在大型企业或网站中,SSO的实施大大提升了用户体验,减少了重复认证的过程,同时也...
单点登录sso
12-06
单点登录(Single Sign-On,简称SSO)是一种身份验证机制,允许用户在一次登录后访问多个相互关联的应用系统,而无需再次输入凭证。这种技术极大地提升了用户体验,减少了用户记忆和管理多套用户名和密码的负担,...
sso单点登录ppt.ppt
10-30
sso单点登录ppt.ppt
单点登录原理及实现方式
热门推荐
qq_41595452的博客
02-08 5万+
单点登录的英文名叫做:Single Sign On(简称SSO),指在同一帐号平台下的多个应用系统中,用户只需登录一次,即可访问所有相互信任的系统。简而言之,多个系统,统一登陆。 为什么需要做单点登录系统呢?在一些互联网公司中,公司旗下可能会有多个子系统,每个登陆实现统一管理,多个账户信息统一管理 SSO单点登陆认证授权系统。
面试官问你什么是单点登录,把这篇甩给他!
WantFlyDaCheng的博客
05-30 4686
前言在我实习之前我就已经在看单点登录的是什么了,但是实习的时候一直在忙其他的事,所以有几个网站就一直躺在我的收藏夹里边:收藏的一些网站在前阵子有个读者来我这投稿,是使用J...
单点登录的三种方式
m0_51505198的博客
11-10 4万+
单点登录的三种常见方式 1.session广播机制实现 2.使用cookie+redis实现 2.1在项目中任何一个模块登录,登录之后,把数据放到这两个地方 2.2访问项目中其他模块,发送请求带着cookie进行发送,获取cookie值,拿着cookie做事情 3使用token实现(推荐使用) 3.1token是什么 3.2实现方式
全面介绍SSO单点登录
weixin_46294086的博客
11-28 653
SSO英文全称Single SignOn,单点登录SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制。它是目前比较流行的企业业务整合的解决方案之一。Spring Security是什么?Spring security 是一个强大的和高度可定制的身份验证和访问控制框架,它提供了基于javaEE的企业应有个你软件全面的安全服务。它是保护基于Spring的应用程序的事实上的标准。
单点登录SSO)实现详解!!!
abc8002117034的博客
03-28 1064
1、一个系统登录流程:用户进入系统——未登录——跳转登录界面——用户名和密码发送——服务器端验证后,设置一个cookie发送到浏览器,设置一个session存放在服务器——用户再次请求(带上cookie)——服务器验证cookie和session匹配后,就可以进行业务了。2、多个系统登录:如果一个大公司有很多系统,a.seafile.com, b.seafile.com,c.seafile.com。这些系统都需要登录,如果用户在不同系统间登录需要多次输入密码,用户体验很不好。
单点登录实现方式(推荐收藏)
小赵的博客
04-27 3852
实际上,单点登录SSO)是指在多个应用系统中,用户只需要登录任意一个系统,就可以访问其他的互相信任的系统。即仅给予员工用户一套单一的凭证(如账号密码),就可以使其访问多个权限内的应用系统,也就是说员工只需要输入一套用户名和密码,就可以访问OA、邮箱、HR、CRM等所有工作相关的应用系统。
SSO单点登录)介绍
jiezaizone的博客
04-28 6884
标签:sso iplas ##一、SSO单点登录)介绍 SSO英文全称Single SignOn,单点登录SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制。它是目前比较流行的企业业务整合的解决方案之一。 ###实现机制 当用户第一次访问应用系统1的时候,因为还没有登录,会被引导到认证系统中进行登...
【架构设计】单点登录实现技术方案
颜淡慕潇
06-12 1万+
单点登录(Single Sign-On,简称SSO)是一种身份认证的解决方案,它允许用户只需一次登录即可访问多个应用程序或系统。在一个典型的SSO系统中,用户只需通过一次身份认证,就可以获得访问多个应用程序的授权,而不需要在每个应用程序中单独进行身份验证。
springboot单点登录sso
09-23
springboot单点登录SSO)是一种身份验证和授权机制,允许用户在多个应用程序中使用相同的凭据进行登录。通过SSO,用户只需登录一次,就可以在不同的应用程序之间共享身份验证信息,从而提供了更好的用户体验和便利性。 在springboot中实现SSO单点登录可以通过集成不同的安全框架和身份提供者来实现。一种常见的做法是使用Spring Security框架和KeyCloak身份提供者。 具体实现步骤如下: 1. 集成Spring Security和KeyCloak依赖库,并在配置文件中配置KeyCloak的相关信息。 2. 创建一个登录接口,该接口会被Spring Security拦截,并将用户重定向到KeyCloak的登录页面。 3. 用户在KeyCloak登录成功后,会返回一个包含用户信息的Token。 4. 在登录接口中,通过解析Token获取用户信息,并进行相应的处理,例如保存用户信息到Session中或生成新的Token返回给前端。 5. 在其他需要身份验证的接口中,可以使用Spring Security提供的注解来实现访问控制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值