单点登录最全详解(图文全面总结)

开发 前端
单点登录(SSO)的核心在于:集中式的认证服务器(如 :CAS Server)管理用户身份,并通过票据机制在不同应用之间共享认证信息。

单点登录

单点登录全程是Single Sign On,简称 ”SSO“,是一种认证机制,通过一次性验证用户身份,提供对多个系统的访问。

图片图片

举一个例子,比如:阿里集团有多个网站,比如:淘宝、天猫........等等,如下图所示:

图片图片

单点登录,就在淘宝、天猫、聚划算...等的最外面,也就是说用户登录任何一个系统,剩余系统都可以登录。

也就说:只需一次登录便,可访问所有这些系统,而无需在每个系统中重复登录。

所以,单点登录(SSO), 极大地简化了用户的认证过程,提升了用户体验。

而且,通过统一的身份认证,可以更好地控制、和审计用户的访问行为,减少密码泄露的风险。

单点登录实现原理

从上面知道了单点登录的价值,下面如果是你,你应该怎么来"实现单点登录呢"?

单点登录实现,如下图所示:

图片图片

单点登录通常通过,以下步骤来实现:

Step 1: 用户访问应用A

比如:用户尝试访问系统、或应用 A。

比如:用户试图访问受保护资源,(例如:https://app.mikechen.cc/dashboard),该资源要求用户进行身份验证。

Step 2: 重定向到认证服务器

应用 A 检查用户是否已登录,如果没有登录,应用 A 会将用户重定向到, SSO 认证服务器。

比如:CAS客户端,会将用户的浏览器重定向到CAS服务器的登录URL。

比如:https://cas.mikechen.cc/login?service=https://app.mikechen.cc/dashboard。

如下图所示:

图片图片

然后,用户认证

CAS服务器接受用户的登录请求,验证用户的身份信息(如:用户名、和密码)。

如果验证成功,”SSO 服务器“,生成一个用于标识该用户的令牌(Token)。

然后,分发令牌

如果,认证成功后,SSO 服务器会将令牌返回给应用 A。

比如:CAS服务器,会生成一个Service Ticket(ST),这是一个一次性使用的票据,用于CAS客户端向CAS服务器验证用户身份。

应用 A 接收到令牌后,创建会话并允许用户访问资源。

最后,用户在多个系统间切换

这个时候,当用户尝试访问系统、或应用 B 时,应用 B 会向 SSO 服务器验证用户身份。

如果用户已经在 SSO 服务器登录,SSO 服务器会直接返回有效的令牌,无需再次输入凭证。

最后,用户在 SSO 系统内的多个应用之间切换时,只需要一次登录,后续访问都会自动通过。

单点登录实现挑战

单点故障

认证中心成为关键点,如果它出现问题,所有系统的认证流程都会受影响。

比如:在SSO系统中,认证中心(如CAS服务器)是所有用户认证的关键组件。

如果认证中心出现故障,所有依赖它的应用系统将无法完成用户认证,导致系统的访问中断。

比如:可以通过负载均衡器,将用户请求分发到多个CAS服务器实例。

这样,即使一个CAS服务器出现故障,负载均衡器可以将请求转发到其他健康的服务器。

复杂性

实现和维护SSO系统比普通认证系统复杂,涉及的协议和安全性要求较高。

比如:实现和维护SSO系统比普通的认证系统复杂,涉及多个协议和安全性要求、

例如:CAS、OAuth2.0、SAML...等,每种协议有其独特的配置要求和实现细节,增加了系统的复杂性。

跨域问题

不同域名之间的SSO需要处理跨域通信问题,比如:通过CORS设置、或使用OAuth的授权码模式。

单点登录应用

单点登录适用于多种场景,常见的应用场景包括:

企业内部系统

企业通常拥有多个业务系统,如:人力资源系统、财务系统、邮件系统...等。

通过 SSO,员工可以通过一次登录访问所有这些系统,提高工作效率。

在线服务平台

互联网公司往往提供多个在线服务,如:邮件、云存储、社交网络...等。

通过 SSO,用户只需一次登录即可访问所有服务,提供无缝体验。

电子商务系统

比如:上面我提到的,阿里包含:淘宝、天猫...等等系统,通过 SSO,用户可以通过一个账号访问所有这些服务。

总之,单点登录(SSO)是一种解决多系统认证问题的有效机制,通过一次登录让用户无缝访问多个系统。

单点登录(SSO)的核心在于:集中式的认证服务器(如 :CAS Server)管理用户身份,并通过票据机制在不同应用之间共享认证信息。

责任编辑:武晓燕 来源: mikechen的互联网架构
相关推荐

2024-09-04 09:43:36

2024-07-26 10:35:00

2024-05-31 13:34:57

2024-08-08 13:01:53

2024-08-12 16:09:31

2024-08-13 15:07:20

2024-11-06 09:54:58

SpringJava开发

2024-09-26 13:33:12

2024-08-07 14:56:00

Nginx反向代理配置

2024-07-12 08:42:58

Redis高性能架构

2024-11-06 12:29:02

2024-09-14 11:36:02

2024-11-15 12:04:33

K8S容器化应用

2024-06-21 09:28:43

2016-01-28 14:41:06

CC++编码

2021-10-29 13:26:54

单点登录SSO

2016-01-15 09:38:49

2024-08-12 08:12:38

2024-10-31 11:52:05

缓存预热系统

2024-08-30 10:29:21

点赞
收藏

51CTO技术栈公众号