单点登录原理

参考：http://blog.csdn.net/cutesource/article/details/5838693

单点登录SSO（Single Sign On）说得简单点就是在一个多系统共存的环境下，用户在一处登录后，就不用在其他系统中登录，也就是用户的一次登录能得到其他所有系统的信任。单点登录在 大型网站里使用得非常频繁，例如像阿里巴巴这样的网站，在网站的背后是成百上千的子系统，用户一次操作或交易可能涉及到几十个子系统的协作，如果每个子系 统都需要用户认证，不仅用户会疯掉，各子系统也会为这种重复认证授权的逻辑搞疯掉。实现单点登录说到底就是要解决如何产生和存储那个信任，再就是其他系统 如何验证这个信任的有效性，因此要点也就以下几个：

• 存储信任
• 验证信任

只要解决了以上的问题，达到了开头讲得效果就可以说是SSO。最简单实现SSO的方法就是用Cookie，实现流程如下所示：

不然发现以上的方案是把信任存储在客户端的Cookie里，这种方法虽然实现方便但立马会让人质疑两个问题：

• Cookie不安全
• 不能跨域免登

对于第一个问题一般都是通过加密Cookie来处理，第二个问题是硬伤，其实这种方案的思路的就是要把这个信任关系存储在客户端，要实现这个也不一定只能用Cookie，用flash也能解决，flash的Shared Object API就提供了存储能力。

一般说来，大型系统会采取在服务端存储信任关系的做法，实现流程如下所示：

以上方案就是要把信任关系存储在单独的SSO系统（暂且这么称呼它）里，说起来只是简单地从客户端移到了服务端，但其中几个问题需要重点解决：

• 如何高效存储大量临时性的信任数据
• 如何防止信息传递过程被篡改
• 如何让SSO系统信任登录系统和免登系统

对于第一个问题，一般可以采用类似与memcached的分布式缓存的方案，既能提供可扩展数据量的机制，也能提供高效访问。对于第二个问题，一般 采取数字签名的方法，要么通过数字证书签名，要么通过像md5的方式，这就需要SSO系统返回免登URL的时候对需验证的参数进行md5加密，并带上 token一起返回，最后需免登的系统进行验证信任关系的时候，需把这个token传给SSO系统，SSO系统通过对token的验证就可以辨别信息是否 被改过。对于最后一个问题，可以通过白名单来处理，说简单点只有在白名单上的系统才能请求生产信任关系，同理只有在白名单上的系统才能被免登录。

以上只是提供了些简单的实现技术，但需要强调的是这只是技术实现而已，仅仅是为了解决上面谈到的一些问题，SSO本身来说并不是什么高科技，有了这个认识比较有利于我们深入探索SSO

 

PHP实现跨域单点登录

最近公司需要制作单点登录系统，于是我一直在搜寻各种资料寻找最优化的单点登录制作方式，最后综合了各种想法，完成了单点登录系统，下面给大家分享下，我实现的单点登录的方式：

原文转自：http://www.W3PHP.com W3PHP

单点登录（Single Sign On），简称为 SSO，是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。（百度百科）

我本人认为单点登录主要解决一下问题：

1. 一个用户账号，多站点通用；
2. 一个应用登录，其他应用同时登录；
3. 一个账号退出，其他应用账号同时退出；（非必须，此项不在单点登录的讨论范围之内，不过WEB单点登录，用到的还是挺多的）；
4. 欢迎补充

PHP实现单点登录方法有多种：

1. 通过关系服务 如webservice 之类的；
2. 数据库共享session实现；
4. P3P跨站点 如ucenter phpcms 等；
5. 通过文件操作 SESSIONID
6. 欢迎补充

我使用的是第5种方法，下面简单说下实现：

一 登陆原理说明

我把SSO分为三个角色：

1. 客户端 – 指的是用户的浏览器
2. 代理端 – 指的是用户访问的网站；
3. 服务端 - 单点登录服务端，提供用户信息方；

同域实现SESSION共享非常容易，但是跨域实现网站和单点登录服务器共享SESSION，就需要做些手脚了；我是这样做的：


二. 过程说明：

登陆流程:

1. 第一次登陆某个站：

a) 站点生成随机字符串TOKEN，保存在cookie中，并携带加密过的APPID,APPKEY  URL跳转到单点登录服务器；单点登录服务器则 解密APPID 和APPKEY并去验证站点合法性；同时单点登录服务端会启动SESSION，并根据TOKEN在单点登录服务端的SESSION生成路 径，同时生成以TOKEN为文件名的SESSION_TOKEN，把开始启动SESSION的PHPSSID，写入伪SESSION_TOKEN中，实现 SESSION共享,然后使客户端跳转至原来的站点URL；

a) 用户输入用户名+密码,向用户验证中心发送登录请求

b) 当前登录站点，通过CURL请求,用户验证中心验证用户名，密码的合法性。如果验证通过，则返回用户信息，不通过则返回错误信息；

c)  根据上一步的CURL请求返回的结果，当前子站对用户进行登陆处理，如果接受到错误，则进行错误处理；

2. 登陆状态下，用户转到另一子：

a) 通过本站cookie或session验证用户的登录状态：如验证通过，进入正常本站处理程序;不通过则重复第一次登陆步骤；

 

参考：http://www.w3php.com/