kevinler

  博客园  :: 首页  :: 新随笔  :: 联系 ::  :: 管理

  基本概念:Single Sign On 简称SSO,目前比较流行的企业业务整合的解决方案之一,是指在多系统应用群中登录一个系统,便可在其他所有系统中得到授权而无需再次登录,包括单点登录与单点注销两部分。

  为了实现单点登录,就需要在多个Server上达到验证同一个ID的效果,我所知道的有两种方法可以达成这个目的。之前的一种方法是“共享Cookie”,让各个Server共用一个session信息,让客户端在各个域名下都能持有这个ID,从而检验处ID的有效性,得到ID对应的用户信息。用户登录成功拿到session-id后分享到其他域名下,把session-id放入Cookie中,把他们的Cookie域设置成顶级域名,这样所有的子域都能够读取到Cookie里的session-id,比如谷歌公司,google.com是他的顶级域名,邮箱服务的mail.google.com和地图服务map.google.com都是他的子域(这种方式的实现就是共享Cookie)。

        但是我们会发现,共享Cookie的方式存在着许多的局限性,首先,应用群的域名需要统一,其次,应用群各系统使用的技术(至少是web服务器)要相同,不然Cookie的Key值不同,无法维持会话,并且共享Cookie无法实现跨语言技术平台登录,比如java、.net、php之间,还有一点,就是Cookie本身并不安全。

  这个时候就出现了另一种实现方式就是单点登录,生成一种在整个Server群唯一的标识SSO-Token(授权令牌),所有Server群都能够验证这个token,同时拿到token背后代表的用户信息。相比于单系统登录,sso需要一个独立的认证中心,只有认证中心能接受用户的用户名密码等安全信息,其他系统不提供登录入口,只接受认证中心的间接授权。间接授权通过令牌实现,sso认证中心验证用户的用户名密码没问题,创建授权令牌,在接下来的跳转过程中,授权令牌作为参数发送给各个子系统,子系统拿到令牌,即得到了授权,可以借此创建局部会话,局部会话登录方式与单系统的登录方式相同。这个过程,也就是单点登录的原理。简单步骤如下:

  1. 用户访问系统1的受保护资源,系统1发现用户未登录,跳转至sso认证中心,并将自己的地址作为参数
  2. sso认证中心发现用户未登录,将用户引导至登录页面
  3. 用户输入用户名密码提交登录申请
  4. sso认证中心校验用户信息,创建用户与sso认证中心之间的会话,称为全局会话,同时创建授权令牌
  5. sso认证中心带着令牌跳转会最初的请求地址(系统1)
  6. 系统1拿到令牌,去sso认证中心校验令牌是否有效
  7. sso认证中心校验令牌,返回有效,注册系统1(登录成功)
  8. 系统1使用该令牌创建与用户的会话,称为局部会话,返回受保护资源
  9. 用户访问系统2的受保护资源
  10. 系统2发现用户未登录,跳转至sso认证中心,并将自己的地址作为参数
  11. sso认证中心发现用户已登录,跳转回系统2的地址,并附上令牌
  12. 系统2拿到令牌,去sso认证中心校验令牌是否有效
  13. sso认证中心校验令牌,返回有效,注册系统2(登录成功)
  14. 系统2使用该令牌创建与用户的局部会话,返回受保护资源

  用户登录成功之后,会与sso认证中心及各个子系统建立会话,用户与sso认证中心建立的会话称为全局会话,用户与各个子系统建立的会话称为局部会话,局部会话建立之后,用户访问子系统受保护资源将不再通过sso认证中心,全局会话与局部会话有如下约束关系:

  1. 局部会话存在,全局会话一定存在
  2. 全局会话存在,局部会话不一定存在
  3. 全局会话销毁,局部会话必须销毁

  我们可以通过博客园、百度、csdn、淘宝等网站的登录过程加深对单点登录的理解,注意观察登录过程中的跳转url与参数

 

  单点登录自然也要单点注销,在一个子系统中注销,所有子系统的会话都将被销毁。简单步骤如下:

  1. 用户向系统1发起注销请求
  2. 系统1根据用户与系统1建立的会话id拿到令牌,向sso认证中心发起注销请求
  3. sso认证中心校验令牌有效,销毁全局会话,同时取出所有用此令牌注册的系统地址
  4. sso认证中心向所有注册系统发起注销请求
  5. 各注册系统接收sso认证中心的注销请求,销毁局部会话
  6. sso认证中心引导用户至登录页面
posted on 2018-04-03 20:13  zlnevsto  阅读(340)  评论(1编辑  收藏  举报