单点登录(SSO,Single Sign-On)

于 2024-02-15 23:34:13 发布
阅读量952 收藏 24
点赞数 21
分类专栏: Spring 文章标签: 前端 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43844521/article/details/136124651
版权

单点登录(SSO,Single Sign-On)是一种用户身份验证服务,允许用户使用一组登录凭据(如用户名和密码)访问多个应用程序或系统。SSO旨在提高用户体验和安全性,通过减少用户需要记住的密码数量,降低密码疲劳和重用的风险。以下是SSO工作原理的概述以及常见的实现技术。

工作原理

  1. 初始登录

    • 用户首次尝试访问SSO集成的任何应用时,会被重定向到SSO服务的登录页面。
    • 用户在这里输入一次用户名和密码。

  2. 身份验证

    • SSO服务验证用户的凭据。如果凭据有效,SSO服务会为用户创建一个会话,并发给用户一个令牌(Token)或票据(Ticket)。

  3. 令牌传递

    • 用户随后尝试访问另一个集成了SSO的应用时,SSO服务会利用已经建立的会话,不需要用户重新输入凭据,直接允许访问。
    • 用户的浏览器会向SSO服务发送令牌作为访问其他服务的凭据。

  4. 服务提供方验证

    • 每个应用或服务都会向SSO服务验证用户令牌的有效性。一旦验证通过,用户就可以访问该应用或服务。

  5. 会话结束

    • 用户登出时,SSO服务可以结束用户在所有应用中的会话,实现一处登出,处处登出的效果。

常见实现技术

  1. LDAP(轻量级目录访问协议)

    • LDAP常用于企业环境中,作为对用户身份信息进行存储和访问的目录服务。

  2. SAML(安全断言标记语言)

    • SAML是一种基于XML的开放标准,用于在安全域之间交换认证和授权数据。SAML广泛应用于企业级SSO解决方案中,特别是在Web应用和服务之间。

  3. OAuth和OpenID Connect

    • OAuth是一个授权框架,允许应用获取有限的访问权限。OpenID Connect建立在OAuth 2.0之上,添加了用户身份验证层,广泛应用于互联网服务的SSO。

  4. Kerberos

    • Kerberos是一种网络身份验证协议,使用密钥加密技术,允许节点在不安全网络上安全地证明其身份。

优点

  • 提高用户体验:用户只需记住和使用一组凭据,就可以访问所有集成的服务和应用。
  • 提高安全性:减少密码重用和疲劳,同时集中管理用户凭据和访问控制。
  • 简化管理:简化了对用户账户和访问权限的管理,尤其是在大型组织中。

缺点

  • 单点故障:SSO系统本身如果出现问题,可能会影响到所有依赖它的服务和应用。
  • 安全风险:如果SSO系统被攻破,攻击者可能获得对所有集成服务的访问权限。

SSO解决方案需要在提高用户体验和安全性之间找到平衡,同时确保对SSO系统本身的高度保护。

典型的单点登录(SSO)场景,其中包括多个应用或服务,用户在任何一个应用登录后,可以无需再次登录即可访问其他所有应用。以下是触发SSO流程的步骤:

步骤1:用户访问应用A

  • 假设用户首次尝试访问应用A的受保护资源,例如http://appA.com/protectedPage
  • 由于用户尚未登录,请求会被SSOFilter拦截。由于会话中没有用户信息(USER_INFO为空),且请求URL不是登录页面或处理登录的URL,SSOFilter会检查请求中是否包含票据(ticket)。

步骤2:重定向到SSO登录页面

  • 由于用户未登录且请求中没有票据,SSOFilter将用户重定向到SSO系统的登录页面,并附加原始请求的URL作为参数,例如http://sso.com/toLogin?url=http://appA.com/protectedPage

步骤3:用户在SSO系统中登录

  • 用户在SSO登录页面输入凭据并提交。SSO系统验证用户凭据,登录成功后,SSO系统生成一个唯一的票据(ticket),并将票据与用户信息关联存储在Redis中。

步骤4:重定向回原始应用

  • 登录成功后,SSO系统将用户重定向回原始请求的URL,并附加票据参数,例如http://appA.com/protectedPage?ticket=uniqueTicket123

步骤5:使用票据获取用户信息

  • SSOFilter再次拦截到用户请求,这次请求中包含票据。SSOFilter使用票据从Redis中获取用户信息,如果成功获取,将用户信息存储在会话中,并删除Redis中的票据。

步骤6:访问受保护资源

  • 用户信息存储在会话中后,SSOFilter放行请求,允许用户访问受保护资源。

步骤7:访问其他应用

  • 用户随后尝试访问另一个集成SSO的应用B的受保护资源。由于用户已在应用A通过SSO登录,应用B的SSOFilter可以从会话中获取用户信息,无需再次登录,用户即可访问应用B的受保护资源。

这个流程展示了单点登录的核心优势,即用户只需登录一次,就可以在多个应用或服务之间无缝切换,极大地提升了用户体验。在实际部署中,需要确保所有应用都能正确处理SSO票据,并能与SSO系统以及Redis等后端服务安全地交互。

青衫客36
关注
  • 21
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
基于SAML的单点登录/登出基本原理
cqwei1987的博客
07-02 3696
本文简单介绍了基于SAML的单点登录系统
CAS单点登录SSO( Single Sign-On)
04-26
CAS(Central Authentication Service)单点登录Single Sign-On,简称SSO)是一种网络认证协议,旨在简化用户在多个应用系统间的登录流程。当用户通过CAS认证后,可以在无需再次输入凭证的情况下访问已接入CAS的...
单点登录(SSO)详解
weixin_58403235的博客
04-04 2万+
在分布式项目架构中,为了提高用户体验性,用户只需要认证一次便可以在多个拥有访问权限的系统中访问,这个功能叫做单点登录SSO)。
单点登录SSO
热门推荐
qq_41913971的博客
01-26 2万+
什么是单点登录单点登录的来源 单点登录技术实现 Cookie的属性详细介绍 Koa Cookie 的设置与获取 利用Node.js koa异步中间件——用户登录验证拦截器
SSO(Single Sign On)单点登录
wumingxiaoyao的博客
11-22 696
一次偶然机会 ,工作中参与Single Sign On Role Player活动,还被选中要拍摄一个短视频来demo一下三种有关用户登录的三种不同场景,也就有必要来了解一下有关SSO的知识。 SSO概念 Single Sign On简称SSO,也叫单点登录,是一种控制多个相关但彼此独立的系统的访问权限, 拥有这一权限的用户可以使用单一的ID和密码访问某个或多个系统从而避免使用不同的用户名或密码,或者通过某种配置无缝地登录每个系统 。也就是只需要登录一次,就可以访问其他相互信任的应用系统。 普通访问认证机
单点登录 (Single Sign-On, SSO)
weixin_33809981的博客
07-31 319
一、单点登录的概念与功能 单点登录的英文简称为SSOsingle sign on),单点登录功能使得用户只要登录了其中一个系统,就可以访问其他相关系统,而不用进行身份验证登录。即用户只要登陆系统一次,该用户的身份信息就可以被系统中的多个主机上的应用所识别,不需要在访问每个应用时再分别进行登陆。 二、为什...
SSO-Single-Sign-on实战.docx
最新发布
09-04
SSOSingle Sign-on)是一种单点登录技术,能够让用户在多个相关的应用程序之间进行身份验证,提高用户体验和安全性。SSO可以分为Web SSO和桌面SSO两种,Web SSO是指客户端的单点登录,而桌面SSO是指操作系统级别的...
SpringBoot整合SSO(single sign on)单点登录
08-19
SpringBoot整合SSO(single sign on)单点登录 单点登录Single Sign-On,SSO)是一种身份验证机制,允许用户使用一个身份验证凭证访问多个相关的应用程序。SSO解决了多个系统登录的问题,提高了用户体验和工作效率...
SSO(SingleSign-On)基于YMP框架实现的单点登录服务模块
08-08
SSO (Single Sign-On) 基于YMP框架实现的单点登录服务模块
sso-use-cookie单点登录
01-18
单点登录Single Sign-On,简称SSO)是一种在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统的技术。在这个项目中,我们利用SpringBoot框架来实现基于Cookie的SSO。下面将详细解释这个项目的...
单点登录SingleSignOn-SSO)完整案例
09-15
单点登录SingleSignOn-SSO)完整案例Java语言运行特点:与平台无关,一次编写处处运行,SSO 的分类介绍的实现(同域、跨域)
单一登录
weixin_30485291的博客
01-03 624
SSO,单一登录(single sign-on),意思是指在多套系统并存的环境下,用户只需登录一次即可访问其他授权的系统。 提起SSO(单一登录),大概企业里的IT人员无人不知,但真正意识到其复杂度的,未必有多少,只有亲身实施过的技术人员,也许才明白个中玄妙。本文基于蓝凌为国内几十家大中型企业的服务案例,针对SSO的相关技术和...
单点登录(Single Sign On , SSO)
在杯子里放零食的博客
05-28 326
简单来说,单点登录就是在多个系统中,用户只需一次登录,各个系统即可感知该用户已经登录。 转自https://mp.weixin.qq.com/s/KJzq0O9-YcqW4YxOoYqKXA 回顾单系统登录 众所周知,HTTP是无状态的协议,这意味着服务器无法确认用户的信息。于是乎,W3C就提出了:给每一个用户都发一个通行证,无论谁访问的时候都需要携带通行证,这样服务器就可以从通行证上确...
SSO(single sign on)模式 --单点登录三种登录方式
weixin_45185519的博客
06-24 910
单点登录三种常见方式: 第一种: session广播机制 第二种: 使用cookie + redis 实现 第三种: 使用token实现
SSOSingle Sign On )单点登录
伯爵领域
12-01 326
SSO 单点登录技术回顾(项目解决的问题一) 在做一个OVLS系统的时候遇到的一个问题。 问题阐述: 用户在登录的时候首先访问的是Application1,访问之后需要登录,登录成功的话现在就是登陆状态,当用户从访问Applciation2的时候,这时候问题就来了,提示用户还要登录,完全影响了用户的体验,并且是冗余的操作,因为用户已经登录过了,这时候应该是顺利的访问就好,所以要解决这个问题。 单点...
单点登录SSO(single sign on)模式(单点登录+权限认证)
雨声学java
06-09 5401
一、单点登录三种常见方法: 第一种: session广播机制实现(已过时) session赋值 = 把登录的session对象,复制给其他模块 缺点:如果模块多的话,session复制会造成资源浪费,还会因为session复制导致数据重复 第二种:使用cookie + redis 实现 怎么设置过期时间:redis 可以设置过期时间 第三种:使用token实现 .................................
SSO单点登录(Single Sign On)
Erick_Zhang1996的博客
06-14 440
1.基于Cookie共享的单点登录 1.1.简介 ​ ​ 单点登录(Single Sign On) 简称为SSO, 定义为在多个应用系统中, 用户只需要登陆一次就可以访问所有相互信任的应用系统,而不需要再次登录。是目前比较流行的企业业务整合的解决方案之一。 ​​ ​ 例如,用户成功登录baidu.com后,访问百度贴吧tieba.baidu.com、百度地图map.baidu.com就不需要再次登录,只需要登录一次,用户的登录状态信息就可以在相互信任的系统间共享,实现单点登录。 1.2.实现方式 1.2.1
SSO—— Single Sign On(单点登录
WINCOL的专栏
08-31 843
SSO 百科名片SSO英文全称Single Sign On,单点登录SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制。它是目前比较流行的企业业务整合的解决方案之一。http://baike.baidu.com/view/190743.htm?fr=ala0_1_1
Tomcat 配置技巧精华详解分析
为了你
03-04 1199
Tomcat 配置技巧精华详解分析      [本部分设定了隐藏,您已回复过了,以下是隐藏的内容]1 - Tomcat Server的组成部分 1.1 - Server A Server element represents the entire Catalina servlet container. (Singleton) 1.2 - Service A Service elemen
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

青衫客36

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值