单点登录详解

 

单点登录是大型架构的必备技能，大厂一般都会使用到，下面我就全面来详解单点登录@mikechen

本篇已收于mikechen原创超30万字《阿里架构师进阶专题合集》里面。

 

单点登录

单点登录，很多时候叫“SSO”,也就是 Single-Sign-On的缩写，翻译过来就是“单点登录”。

 

单点登录，是一种身份认证方式。

大白话就是：用户只需一次登录，即可访问多个相互信任的应用系统，这就是“单点登录”。

还是举一个例子，比如：你在阿里登录了一子系统，这个时候，你就不需要“重复登录”。

如下图所示：

 

登录一次后，你就可以访问别的系统，比如：天猫、淘宝...等等相互信任的系统了。

这样有一个最大的好处，就是用户体验会更好，不然每个都等一遍，是不是很烦人呢，这就是“单点登录”的价值所在！

单点登录原理

单点登录（SSO）的原理，是在于通过一个“集中认证系统”，实现对用户身份的统一认证与共享。

如下图所示：

 

这里的关键点，就是“集中认证服务器”，它会负责：验证用户身份。

以及，管理登录状态，并生成认证凭据（如 ：Token）...等等。

集中认证系统，实现原理如下：

 

一般，会经历如下步骤：

1.首先，用户访问受保护的应用系统（如：应用 A）。

2.应用 A 检测到用户未登录，这个时候，会重定向用户到“集中认证系统”。

3.集中认证系统验证用户身份，比如：成功和失败：

• 成功：生成票据，并返回给应用 A；
• 失败：返回错误页面、或提示用户重新登录。

用户通过认证后，系统生成一个唯一的票据（Token），作为用户身份的凭证。

每个用户登录后生成的票据是唯一的，可以通过 随机数、或其他算法...生成，需要保证唯一，这是重点。

票据中可能包含用户 ID、权限信息...等，票据一般使用加密方式（如：对称加密或非对称加密）保护，避免伪造、和篡改。

4.应用 A 接收到票据后，验证票据有效性；

5.验证通过，应用 A 为用户创建本地会话，并允许访问资源。

通过以上的”5大步骤“，从而使用户只需一次登录，即可访问多个相互信任的系统、或应用。

单点登录应用场景

企业内部是一个比较大的场景，比如:在一个企业内部，通常会有多个业务系统.

比如：人力资源管理系统（HRMS）、企业资源规划系统（ERP）、客户关系管理系统（CRM）...等等。

每次都需要登录，企业的效率就会很低，采用单点登录后，可以提升企业的效率。

还有就是外部的互联网平台，比如：我上面提到的天猫、淘宝...等等。

用户一次登录后，可无缝切换不同的产品、或服务，可以更好的提升用户体验。

本篇已收于mikechen原创超30万字《阿里架构师进阶专题合集》里面。