单点登录简述

于 2024-04-28 11:36:14 发布
阅读量597 收藏 13
点赞数 18
文章标签: 微信
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yusheng_xyb/article/details/138271979
版权

单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。
如下图,用户只需要认证一次,便可以在多个拥有访问权限的系统中访问。

单点登录原理

 sso需要一个独立的认证中心,所有子系统都通过认证中心的登录入口进行登录,登录时带上自己的地址,子系统只接受认证中心的授权,授权通过令牌(token)实现,sso认证中心验证用户的用户名密码正确,创建全局会话和token,token作为参数发送给各个子系统,子系

单点登录实现方式

单点登录的实现方案,一般就包含:Cookie,Session,token,目前的大型网站都是采用分布式Session的方式。

基于Cookie+Redis的单点登录

最简单的单点登录实现方式,用cookie作为媒介存放用户凭证。 用户登录系统之后,会返回一个加密的cookie,当用户访问子应用的时候会带上这个cookie,授权以解密cookie并进行校验,校验通过后即可登录当前用户。
redis:在key:生成唯一随机值(ip、用户id等等),在value:用户数据
cookie:把redis里面生成key值放到cookie里面

 

下面对上图简要描述

1用户访问系统1的受保护资源,系统1发现用户未登录,跳转至sso认证中心,并将自己的地址作为参数
2sso认证中心发现用户未登录,将用户引导至登录页面
3用户输入用户名密码提交登录申请
4sso认证中心校验用户信息,创建用户与sso认证中心之间的会话,称为全局会话,同时创建授权令牌
5sso认证中心带着令牌跳转回最初的请求地址(系统1)
6系统1拿到令牌,去sso认证中心校验令牌是否有效
7sso认证中心校验令牌,返回有效,注册系统1
8系统1使用该令牌创建与用户的会话,称为局部会话,返回受保护资源
9用户访问系统2的受保护资源
10系统2发现用户未登录,跳转至sso认证中心,并将自己的地址作为参数
11sso认证中心发现用户已登录,跳转回系统2的地址,并附上令牌
12系统2拿到令牌,去sso认证中心校验令牌是否有效
13sso认证中心校验令牌,返回有效,注册系统2
14系统2使用该令牌创建与用户的局部会话,返回受保护资源 

用户登录成功之后,会与sso认证中心及各个子系统建立会话,用户与sso认证中心建立的会话称为全局会话,用户与各个子系统建立的会话称为局部会话,局部会话建立之后,用户访问子系统受保护资源将不再通过sso认证中心,全局会话与局部会话有如下约束关系

1局部会话存在,全局会话一定存在
2全局会话存在,局部会话不一定存在
3全局会话销毁,局部会话必须销毁

Cookie的作用在于充当一个信息载体在Server端和Browser端进行信息传递,而Cookie一般是以域名为分割的,例如a.xxx.com与b.xxx.com的Cookie是不能互相访问的,但是子域名是可以访问上级域名的Cookie的。 即a.xxx.com和b.xxx.com是可以访问xxx.com下的Cookie的,于是就能将顶级域名的Cookie作为OpenId的载体。

 

验证步骤和上第二个方法非常相似:

在提供验证服务的站点里登录;
●将OpenId写入顶级域名Cookie里;
●访问子系统(Cookie里带有OpenId)
●子系统取出OpenId通过并向验证服务发送OpenId
●返回用户认证信息
●返回授权后的内容

但使用该方式把信任存储在客户端的Cookie中会有两个问题:

●Cookie不安全
●不能跨域实现免登

对于第一个问题,通过加密Cookie可以保证安全性,当然这是在源代码不泄露的前提下。如果Cookie的加密算法泄露,攻击者可以通过伪造Cookie伪造成特定用户身份。 对于问题二更是硬伤,所以才有了以下的分布式session方案。

分布式session方式实现单点登录

流程运行:
(1) 用户第一次登录时,将会话信息(用户Id和用户信息),比如以用户Id为Key,写入分布式Session;
(2) 用户再次登录时,获取分布式Session,是否有会话信息,如果没有则调到登录页;
(3) 一般采用Cache中间件实现,建议使用Redis,因此它有持久化功能,方便分布式Session宕机后,可以从持久化存储中加载会话信息;
(4) 存入会话时,可以设置会话保持的时间,比如15分钟,超过后自动超时;
结合Cache中间件,实现的分布式Session,可以很好的模拟Session会话。 

使用token实现

1.在项目某个模块进行登录,登录之后,按照规则生成字符串,把登陆之后用户包含到生成字符串里面,把字符串返回
(1)可以把字符串通过cookie返回
(2)把字符串通过地址栏返回
2.再去访问项目其他模块,每次访问在地址栏带着生成的字符串token,在访问模块里面获取地址字符串,根据字符串获取用户信息。如果可以获取到就能登录,反之则未登录。
实现方式如下图:

yusheng_xyb
关注
  • 18
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
单点登录(SSO)详解——超详细
qq_53895518的博客
03-20 6664
此种实现方式比较简单,但不支持跨主域名。
单点登录与第三方登录 + CSRF-XSS-DNS-DDOS-SQL攻击
热门推荐
Java后端技术栈
05-27 2万+
多系统实现单点登录方案:SSO 单点登录 一、什么是单点登录SSO(Single Sign-On)   SSO是一种统一认证和授权机制,指访问同一服务器不同应用中的受保护资源的同一用户,只需要登录一次,即通过一个应用中的安全验证后,再访问其他应用中的受保护资源时,不再需要重新登录验证。 二、单点登录解决了什么问题   解决了用户只需要登录一次就可以访问所有相互信任的应用系统,而不用重复登录。 三、单点登录的技术实现机制   如下图所示:    认证后返回给应用系统而不是用户 注(图片所
单点登录详解
kpp19920121的博客
05-07 2085
1       单点登录的概念 1.1什么是单点登录 单点登录是指在多系统共存的情况下,用户在一个系统登录之后,可以通过某种授权机制登录到其他的系统内。大型的网站内,会存在着多个子系统,如果每个系统都需要单独的进行登录认证,会非常的麻烦。单点登录系统的实现,必须要保证: 1.1.1 传统系统的登录认证如下:   简单系统的登录认证主要依靠的是Cookie中的jsessionid参数
俗话说单点登录(SSO)的三种实现原理
nowitzkis的专栏
07-14 1035
文章目录1、什么是单点登录?2、三种原理1、第一种实现原理2、第二种实现原理3、第三种实现原理 1、什么是单点登录? 我们现在有千度和万度两个web服务 比如我们在一个浏览器登录了千度,接着再去访问万度,在访问万度的时候是不需要再次登录就可以直接访问的,这就是单点登录。 那么怎样才能达到这个目的呢?我这里给基于三种原理的实现方式。 2、三种原理 1、第一种实现原理 让浏览器记住千度的session,访问万度也用这个session。 让服务器记住千度的session,万度的登录认证也用这个session去认证
单点登录认证系统前端实现方案
weixin_45559449的博客
03-02 2803
单点登录(Single Sign On),简称SSO。是指在多个应用系统中,用户只需要登录一次,就可以访问所有相互信任的应用系统。采用OAuto2.0授权协议实现单点登录功能。本系统使用 Authorization Code(授权码模式)来获取 访问令牌 (access_token)系统说明统一身份认证平台用于业务系统登录,身份认证管理后台对集成单点登录的业务系统进行管理,包含业务系统注册、修改、注销等功能业务系统自身需要集成单点登录,可涉及多个业务系统统一身份认证平台。
单点登录的实现
qq_44731033的博客
06-08 253
这里写自定义目录标题单点登录的三种实现方式第一种传统的session广播第二种是cookie+redis的方式第三种是token 单点登录的三种实现方式 第一种传统的session广播 第一种session加cookie的方式,就是用户登录过后,将用户的信息保存在session里面。其它模块要用到用户数据时,就得去复制第一个session里面的数据信息,到自己生成一个session到自己的模块里。这样模块较多时,造成了资源的浪费。 第二种是cookie+redis的方式 用户登录成功后,根据redis的ke
简述单点登陆方案(基于中心认证模式)
07-31
北京选择软件公司张昀整理。 从整个单点登陆的方案着手,讲述了单点登陆的服务器构成、涉及到的技术、如何实现单点登陆。适合对单点登陆没多少概念的人员。
zh-sso:集成多种登录验证方式的单点登录系统,适用于PC端和移动端Web应用,支持微信登录验证、手机号登录、邮箱登录等
05-16
以下为Smart原来的说明文档:Smart定位用当下最流行的SSM(SpringMVC + Spring + Mybatis)技术,为您构建一个易理解、高可用、高扩展性的单点登录权限管理应用基层,方便实现快速开发。权限按钮级(可控制到...
人工神经网络(ANN)简述
02-24
我们从下面四点认识人工神经网络(ANN:ArtificialNeutralNetwork):神经元结构、神经元的激活函数、神经网络拓扑结构、神经网络选择权值和学习算法。1.神经元:我们先来看一组对比图就能了解是怎样从生物神经元建模...
简述无线传感器网络的拓扑控制技术
01-20
计算机网络的拓扑结构是引用拓扑学中研究与大小,形状无关的点,线关系的方法。把网络中的计算机和通信设备抽象为一个点,把传输介质抽象为一条线,由点和线组成的几何图形就是计算机网络的拓扑结构。网络的拓扑结构...
java实现简单的单点登录
03-03
相比于单系统登录,sso需要一个独立的认证中心,只有认证中心能接受用户的用户名密码等安全信息,其他系统不提供登录入口,只接受认证中心的间接授权。间接授权通过令牌实现,sso认证中心验证用户的用户名密码没问题,创建授权令牌,在接下来的跳转过程中,授权令牌作为参数发送给各个子系统,子系统拿到令牌,即得到了授权,可以借此创建局部会话,局部会话登录方式与单系统的登录方式相同。对应的课程网址:https://blog.csdn.net/u013938578/article/details/104629534
简述8位MCU的触摸按键设计方案
01-20
0 前言  MCU(Micro Controller Unit)中文名称为多点控制单元,又称单片微型计算机(Single Chip Microcomputer),是指随着大规模集成电路的出现及其发展,将计算机的CPU、RAM、ROM、定时数器和多种I/O接口集成...
单点登录的实现流程
weixin_69776547的博客
08-29 2689
单点登录的具体实现
单点登录的三种方式
m0_54883970的博客
07-29 727
在一个集群中的一个模块登录后,然后把这个session复制n份,发送到这个集群的其他模块中,就实现了一处登录,处处可用,但缺点是耗费比较大,不推荐使用。单点登录(SingleSignOn),简称为SSO,是比较流行的企业业务整合的解决方案之一。*判断是否登录,从session获取数据,可以获取到登录session.getAttribute(“user”)把cookie获取值,到redis进行查询,根据key进行查询,如果查询数据就是登录。系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。...
SSO单点登录的实现原理是怎样的
lvjun106
06-10 746
转:http://www.hello-code.com/question/architecture/201407/1632.html   单点登录在现在的系统架构中广泛存在,他将多个子系统的认证体系打通,实现了一个入口多处使用,而在架构单点登录时,也会遇到一些小问题,在不同的应用环境中可以采用不同的单点登录实现方案来满足需求。我将以我所遇到的应用环境以及在其中所经历的各个阶段与大家分享,若有...
SSO单点登录原理详解
Yilong18的博客
12-06 2995
sso单点登录
原理探究:单点登录(SSO)原理和实现
qq_39093474的博客
12-20 569
HTTP是,浏览器的每一次请求,服务器都会独立处理,不与之前或之后的请求产生关联,所以,任何用户都可以通过浏览器访问服务器资源。
实战:单点登录的两种实现方式,附源码
m0_71777195的博客
06-03 1760
单点登录(Single Sign-On,SSO)是一种身份验证服务,允许用户使用单个标识来登录多个应用程序或系统。如下图所示,用户只需要登陆一次就可以访问系统A、系统B和系统C。在传统的登录方式中,用户必须为每个应用程序或系统提供不同的凭据和密码。如下图所示,用户访问系统A、系统B和系统C都必须用登陆。这种方式既不方便也容易被攻击者利用,而 SSO 解决了这个问题,使得用户只需通过一次身份验证就可以无缝地访问多个应用程序或系统,从而提高了用户体验的便利性和安全性。
shiro 单点登录
最新发布
07-28
Shiro 是一个强大且易于使用的 Java 安全框架,它提供了身份验证、授权、加密和会话管理等功能,可以用于实现单点登录(Single Sign-On,简称 SSO)。 在 Shiro 中实现单点登录,你可以使用 Shiro 提供的集成模块或...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值