SSO入门

最新推荐文章于 2024-09-14 19:55:29 发布
最新推荐文章于 2024-09-14 19:55:29 发布
阅读量76 收藏
点赞数
文章标签: 数据库 javascript 运维 ViewUI
原文链接:https://yq.aliyun.com/articles/631981
版权

SSO英文全称Single Sign On,单点登录。SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制。它是目前比较流行的企业业务整合的解决方案之一。

实现机制

当用户第一次访问应用系统1的时候,因为还没有登录,会被引导到认证系统中进行登录;根据用户提供的登录信息,认证系统进行身份校验,如果通过校验,应该返回给用户一个认证的凭据--ticket;用户再访问别的应用的时候就会将这个ticket带上,作为自己认证的凭据,应用系统接受到请求之后会把ticket送到认证系统进行校验,检查ticket的合法性。如果通过校验,用户就可以在不用再次登录的情况下访问应用系统2和应用系统3了。
要实现SSO,需要以下主要的功能:

系统共享

统一的认证系统是SSO的前提之一。认证系统的主要功能是将用户的登录信息和用户信息库相比较,对用户进行登录认证;认证成功后,认证系统应该生成统一的认证标志(ticket),返还给用户。另外,认证系统还应该对ticket进行校验,判断其有效性。

信息识别

要实现SSO的功能,让用户只登录一次,就必须让应用系统能够识别已经登录过的用户。应用系统应该能对ticket进行识别和提取,通过与认证系统的通讯,能自动判断当前用户是否登录过,从而完成单点登录的功能。

另外:

1、单一的用户信息数据库并不是必须的,有许多系统不能将所有的用户信息都集中存储,应该允许用户信息放置在不同的存储中,事实上,只要统一认证系统,统一ticket的产生和校验,无论用户信息存储在什么地方,都能实现单点登录。
2、统一的认证系统并不是说只有单个的认证服务器
当用户在访问应用系统1时,由第一个认证服务器进行认证后,得到由此服务器产生的ticket。当他访问应用系统2的时候,认证服务器2能够识别此ticket是由第一个服务器产生的,通过认证服务器之间标准的通讯协议(例如SAML)来交换认证信息,仍然能够完成SSO的功能。

技术实现的方式:

(1)基于cookies实现,需要注意如下几点:如果是基于两个域名之间传递sessionid的方法可能在windows中成立,在unix&linux中可能会出现问题;可以基于数据库实现;在安全性方面可能会作更多的考虑。另外,关于跨域问题,虽然cookies本身不跨域,但可以利用它实现跨域的SSO。
(2) Broker-based(基于经纪人),例如Kerberos等;这种技术的特点就是,有一个集中的认证和用户帐号管理的服务器。经纪人给被用于进一步请求的电子的身份存取。中央数据库的使用减少了管理的代价,并为认证提供一个公共和独立的"第三方"。例如Kerberos,Sesame,IBM KryptoKnight(凭证库思想)等。Kerberos是由麻省理工大学发明的安全认证服务,当前版本V5,已经被UNIX和Windows作为默认的安全认证服务集成进操作系统。
(3) Agent-based(基于代理人)在这种解决方案中,有一个自动地为不同的应用程序认证用户身份的代理程序。这个代理程序需要设计有不同的功能。比如,它可以使用口令表或加密密钥来自动地将认证的负担从用户移开。代理人被放在服务器上面,在服务器的认证系统和客户端认证方法之间充当一个"翻译"。例如SSH等。
(4) Token-based,例如SecurID,WebID,现在被广泛使用的口令认证,比如FTP,邮件服务器的登录认证,这是一种简单易用的方式,实现一个口令在多种应用当中使用。
(5) 基于网关Agent and Broker-based,这里不作介绍。
(6) 基于安全断言标记语言(SAML)实现,SAML(Security Assertion Markup Language,安全断言标记语言)的出现大大简化了SSO,并被OASIS批准为SSO的执行标准。开源组织OpenSAML 实现了 SAML 规范。

由于本人只做了基于cookie的sso系统,所以下面的内容都是基于cookie的技术实现的分析。

sso体系结构

  1. 认证中心
  2. 用户和账号系统,用户数据获取接口
  3. 客户端模块

  4. 令牌


如上图,认证中心的功能就是,验证用户的权限已经对用户进行发放token等。
为了做到对用户的统一管理和配置,通常认证中心配有用户和账号体系,并对业务系统提供用户数据获取接口。客户端模块主要是进行对用户访问的业务系统前进行拦截。对用户的访问进行检测。令牌就是sso中重要的概念,主要用于用户的权限以及有效性的凭证。

sso认证流程


上图,sso的认证流程,主要分成三块,一块是验证token的存在和有效性,一块是用户的验证授权以及生成token。另一块就是对用户请求进行捕获拦截。

具体的详细的认证流程如下:


基于cookie的实现的sso的涉及的技术

1、HTTP、cookie与session
2、cookie与session的关系
3、cookie,SSO令牌的载体
4、决定cookie内容、生命周期和有效范围的7个属性
1)name & value
2)expires
3)path & domain
4)httpOnly & secure
5、JavaScript操作cookie的方法
6、Java Web应用中操作cookie的方法
7、filter,Web层的拦截器

另外需要考虑的一些问题,就是跨域问题。
weixin_34387284
关注
维格云单点登录SSO入门教程
LCHub低代码社区
11-25 380
无代码维格云单点登录功能支持用户通过配置,将无代码维格云的帐号体系,和提供标准OAuth2.0认证服务系统、LDAP的帐号体系统一起来。两种单点登录方式的配置见子文档:OAuth 2.0LDAP,本文只描述通用功能:全局单点登录、退出登录后跳转指定页面。注:本功能为Alpha版本可另外增购的功能,如有需要,请与客服人员联系全局单点登录主要满足客户要将「未登录」情况下的跳转登录页面,设置为单点登录页面,而非无代码维格云登录页面的情况。这个功能可以实现未登录情况下,打开无代码维格云链接,依旧是单点登录页面。
单点登录(SSO)入门第一篇--基本概念
初秋土豆的博客
11-05 1334
本文简要介绍了SSO的概念,使用场景及其基本实现原理
sso入门
m0_37166400的博客
12-07 163
https://blog.csdn.net/lchq1995/article/details/79527490 单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。 以下是个人查询资料的借鉴及对接某大型互联网公司单点系统后的一个总结和理解 ...
单点登录(sso入门
weixin_30868855的博客
07-22 91
单点登录的英文名叫做Single Sign On,简称SSO。 在以前,一般我们就单系统,所有的功能都在同一个系统上。 后来,我们为了合理利用资源和降低耦合性,于是把单系统拆分成多个子系统。 比如阿里系的淘宝和天猫,很明显地我们可以知道这时两个系统,但是你在使用的时候,登陆了天猫,淘宝也会自动登陆。简单来说,单点登陆就是在多个系统中,用户只需要登陆一次,各个系统即能感知到该...
自己学习的sso
weixin_34392906的博客
11-08 88
一上午的时间,学习了一下单点登录。 思路就是: 在a站点表单登录的时候,就去向站点U去进行验证。 如果站点中心的sid存在,就返回sid到a站点,并存储到cookie里面。并且给b站点设置cookie。 如果sid不存在的话,就验证用户账号和密码,生成sid,然后存储到文件里面。然后返回sid b站点登录的时候,验证sid是否存在。不存在的话,就去登录。存在的话,就去根据sid,去获取用户的账...
安全单点登录(SSO)解决方案
运维有小邓
12-26 436
ADSelfService Plus使用users’用于身份验证的Windows Active Directory中的现有身份。这节省了原本用于为用户设置新身份的时间,也消除了对存储额外密码的密码库工具的依赖。
HAP框架-SSO入门手册.docx
10-02
本手册是关于HAP框架中SSO(Single Sign-On)单点登录功能的入门指南,由Chenxinkai在2016年7月21日创建,并于2016年7月24日进行了最后更新。文档版本为1.0,仅供内部使用。 文档说明 1. 适用框架及前端技术 HAP...
HAP框架-SSO入门手册.zip
10-04
**HAP框架与SSO简介** HAP框架(Hierarchical Application Platform)是一个为企业级应用设计的可扩展的、模块化的框架,它旨在简化复杂的企业级系统开发,提高系统的可维护性和可扩展性。HAP框架提供了多种服务,...
SSO分布式系统单点登陆入门到基础到原理实战
04-01
### SSO分布式系统单点登录入门到基础到原理实战 #### 一、SSO(Single Sign-On)概念 SSO,即单点登录(Single Sign-On),是一种基于Web的应用程序认证处理方法。用户只需进行一次身份验证即可访问多个应用系统。...
单点登录之CAS SSO入门到精通
09-11
单点登录之CAS SSO入门到精通
SSO单点登录三种情况的实现方式详解
json_li的博客
06-26 1万+
单点登录(SSO——Single Sign On)对于我们来说已经不陌生了。对于大型系统来说使用单点登录可以减少用户很多的麻烦。就拿百度来说吧,百度下面有很多的子系统——百度经验、百度知道、百度文库等等,如果我们使用这些系统的时候,每一个系统都需要我们输入用户名和密码登录一次的话,我相信用户体验肯定会直线下降。当然,对于个人博客这类系统来说根本就用不上单点登录了。 假如,我们的系统很庞大,但是就
springboot2.0.4+spring security+vue前后分离开发一直提示anonymousUser
baidu_37302589的博客
09-11 9064
后台角色权限认证提示匿名用户,使用postman却没有发现该问题 vue2.0 index.js配置的跨域 各种查找资料都没发现有相关解决文档,无奈只能重新搭建项目,从而发现问题所在,故此记录一下解决办法 后台去掉 servlet: context-path:/interest 更改后的配置,前端vue做相对应的处理   就此解决前后分离提示匿名用户问题!...
单点登录之CAS SSO入门到精通(第一天)
热门推荐
lifetragedy的专栏
02-14 4万+
啊。。。。。。it's quite a long time。好久没更新博客了,有一年之久了,一直在忙于公司的一些项目。2014年到2015年工作太忙,对于一些经常跟我博客的读者们深深说一声抱歉。同时,也在新的一年将到之际,祝各位新春愉快,羊年洋洋洋。好了,废话少说,开始我们架构师之路的新的历程,SSO-单点登录。什么是单点登录?什么是SSOSSO就是单点登录!!!SSO即Single Sign
单点登录学习(1)概念篇
weixin_33909059的博客
08-10 102
1.什么是单点登录?    单点登录是指在多个应用系统中只需要统一对用户身份认证一次,就可以在各个系统访问,核心特征有两个,一个是集中统一认证,第二个特点就是适用于多系统的分布式环境--如果就一个应用程序这样折腾就没有任何意义了 2.为什么要做单点登录?     现在的企业中可能部署着多套应用程序,如有ERP系统,该系统有自己的用户名认证系统,还有个人力资源管理系统,也有自己的用户名和认证系...
自己动手写SSO(单点登录)
客家人@云
03-02 2246
SSO在我们的应用中非常常见,例如我们在OA系统登录了,我们就可以直接进入采购系统,不需要再登录了,这样使我们非常方便。现在网上也有很多实现方法,于是乎我也想写一个看看。我主要用到的是cookie的机制。在此,分享给大家,同时提供源代码下载。   进入主题: 工程说明 SSO的实现一般是会有一个SSO Server,也会叫认证中心,同时也会有被认证的系统,如OA系统、采购系统等,他们就相...
SSO单点登录原理详解(从入门到精通)
Mr.mark的博客
07-23 1万+
本文主要对SSO单点登录与CAS、OAuth2.0两种授权协议的关系和原理进行详细说明。 基础知识 SSO单点登录(Single sign-on) 所谓单点登录就是在多个应用系统中,用户只需登录一次就可以访问所有相互信任的系统。 CAS 中央认证服务(Central Authentication Service) CAS是由美国耶鲁大学发起的一个企业级开源项目,旨在为WEB应用系统提供一种可靠的单点登录解决方案(WEB SSO)。 OAuth2.0 开放授权(Open Authorization
4.网络编程
最新发布
weixin_45476535的博客
09-14 228
程序注册端口:1024-49151。单个协议下,端口号不能冲突。公有端口0-1023。
SSO入门:单点登录技术详解与实现
SSO技术的入门部分,首先对SSO的概念进行了介绍。简单来说,它解决了企业环境中用户频繁登录不同应用系统的问题,提升了效率,减少了因记忆多套账户密码而带来的困扰。单点登录的核心思想是通过一个中央认证服务...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值