单点登录(SSO)

背景

​ 在企业开发初期,由于企业呢,他的系统就几个,每一个系统都有自己的登录功能模块。但是啊,随着发展呢,企业就开发了各种系统,运维人员在维护的时候就要在不同的系统之间切换维护。这就太不方便啦,对用户来说也不方便嘛。所谓懒惰使人进步,于是前辈们就想到了,都是我们企业的系统为什么不能登录一个系统,其他系统就不用登陆了呢?

单点登录(Single sign On)简称SSO

在多个应用系统中,只需要登录一次,就可以访问其他相互信任的应用系统

技术实现

普通的登录机制:

在普通的登录机制中啊,我们在浏览器中访问一个应用,然后这个应用需要登录,用户填写了用户名和密码之后完成登录认证。这时,我们在这个用户的session中标记用户的登录状态,同时,在浏览器中写入Cookie,这个Cookie是这个用户的唯一标识,下次用户再访问这个应用时,请求的时候就会带上这个Cookie,服务端会根据这个Cookie找到对应的session,通过这个session来判断这个用户是否登录了。如果不做特殊配置,这个Cookie的名字叫做jsessionid,值在服务端是唯一的。

同域下的单点登录

​ 一个企业一般情况下只有一个域名,通过二级域名区分不同的系统。比如我们有个域名叫做a.com,同时有两个业务系统分别为app1.a.com和app2.a.com。我们要做单点登录(SSO),需要一个登录系统,叫做:sso.a.com。

​ 我们只要在sso.a.com中登录,然后app1.a.com和app2.a.com可就可以登录啦。通过上面的普通的登录认证机制,我们可以知道,在sso.a.com中登录了,其实是在sso.a.com的服务端的session中记录了登录状态,同时在浏览器的sso.a.com下写入了Cookie 。那么怎么才能让app1.a.com和app2.a.com登录呢?需要解决两个问题:

  • Cookie是不能跨域的,我们Cookie的domain属性是sso.a.com,在给app1.a.com和app2.a.com发送请求是带不上的
  • sso,app1和app2是不同的引用,他们的session存在自己的应用中,不共享

针对第一个问题:

​ sso登录后,我们可以将Cookie的域设置为顶域,即.a.com,这样所有的子域的系统都可以访问到顶域的Cookie了。

第二个问题:

​ 我们在sso系统登录了,这时访问app1Cookie也会带到app1的服务端,app1的服务端怎么找到这个Cookie对应的Session呢?这里就要把3个系统的Session共享。解决方案有:Spring-Session

不同域名下的单点登录

​ 同域名下的单点登录是巧用了Cookie的顶域的特性,如果是不同域呢?不同域的Cookie是不能共享的啊

CAS 流程:单点登录的标准流程

  • 用户访问app系统时,app系统需要登录,但用户现在没有登录。
  • 没有登录就跳转到CAS Server,即SSO登录系统。SSO系统也没有登录。弹出用户登录页。
  • 用户填写了用户名密码后,SSO系统进行认证,将登录状态写入到SSO的session中,同时浏览器中写入SSO域下的Cookie
  • SSO系统登录完成后会生成一个ST(service Ticket),然后跳转到app系统,同时将ST作为参数传递给app系统
  • app系统拿到ST后。从后台向SSO发送请求。验证该ST是否有效。
  • 验证通过后,app系统将登录状态写入Session,并写入app域下的Cookie

这样单点登录就完成了,以后我们再访问app系统时,app就是登录了的

现在我们来访问app2

  • 用户访问app2系统,app2系统没有登录。那么跳转到SSO
  • SSO发现,你这个用户已经登录了啊,不用再登录认证了
  • 然后,SSO就生成一个ST,浏览器跳转到app2系统,和app一样将ST作为参数传递给app2
  • app2拿到了ST,再在后台向SSO发送请求,验证ST是否有效
  • 验证通过,app2将登录信息写入到session,并在spp2域下写入Cookie

为什么app系统拿到了ST还要请求SSO做ST验证?

app系统拿到的ST就是有SSO给app发送的ST,为什么app还要在后台给SSO发一个请求验证ST呢?如果我在SSO没有登录,而是直接在浏览器中直接敲入回调的地址,并伪造用户的信息,那样APP业务系统也就登录了。这样也就不安全了哦

总结

  • 单点登录(SSO系统)是保障各业务系统的用户资源安全
  • 各个业务系统获得的信息,这个用户能不能访问我的资源
  • 单点登录,资源都在各个业务系统这边。不在SSO那边。用户再给SSO服务器提供了用户名密码后,作为业务系统并不知道这件事,SSO随便给业务系统一个ST,那么业务系统是不能确定这个ST是不是用户伪造的,还是真的。所以要那这个ST去SSO服务器在问一遍,这个用户给我的ST是否是有效的、有效我才能让这个用户访问。

转载https://www.jianshu.com/p/75edcc05acfd)

posted @ 2021-02-25 13:49  敬敬不想造轮子  阅读(554)  评论(0编辑  收藏  举报