话说单点登录
单点登录英文全称Single Sign On,简称就是SSO。它的解释是:在多个应用系统中,只需要登录一次,就可以访问其他相互信任的应用系统。
如图所示,图中有4个系统,分别是Application1、Application2、Application3、和SSO。Application1、Application2、Application3没有登录模块,而SSO只有登录模块,没有其他的业务模块,当Application1、Application2、Application3需要登录时,将跳到SSO系统,SSO系统完成登录,其他的应用系统也就随之登录了。这完全符合我们对单点登录(SSO)的定义。
在说单点登录(SSO)的技术实现之前,我们先说一说普通的登录认证机制。
如上图所示,我们在浏览器(Browser)中访问一个应用,这个应用需要登录,我们填写完用户名和密码后,完成登录认证。这时,我们在这个用户的session中标记登录状态为yes(已登录),同时在浏览器(Browser)中写入Cookie,这个Cookie是这个用户的唯一标识。下次我们再访问这个应用的时候,请求中会带上这个Cookie,服务端会根据这个Cookie找到对应的session,通过session来判断这个用户是否登录。如果不做特殊配置,这个Cookie的名字叫做jsessionid,值在服务端(server)是唯一的。
一个企业一般情况下只有一个域名,通过二级域名区分不同的系统。比如我们有个域名叫做:a.com,同时有两个业务系统分别为:app1.a.com和app2.a.com。我们要做单点登录(SSO),需要一个登录系统,叫做:sso.a.com。
我们只要在sso.a.com登录,app1.a.com和app2.a.com就也登录了。通过上面的登陆认证机制,我们可以知道,在sso.a.com中登录了,其实是在sso.a.com的服务端的session中记录了登录状态,同时在浏览器端(Browser)的sso.a.com下写入了Cookie。那么我们怎么才能让app1.a.com和app2.a.com登录呢?这里有两个问题:
那么我们如何解决这两个问题呢?针对第一个问题,sso登录以后,可以将Cookie的域设置为顶域,即.a.com,这样所有子域的系统都可以访问到顶域的Cookie。我们在设置Cookie时,只能设置顶域和自己的域,不能设置其他的域。比如:我们不能在自己的系统中给baidu.com的域设置Cookie。
Cookie的问题解决了,我们再来看看session的问题。我们在sso系统登录了,这时再访问app1,Cookie也带到了app1的服务端(Server),app1的服务端怎么找到这个Cookie对应的Session呢?这里就要把3个系统的Session共享,如图所示。共享Session的解决方案有很多,例如:Spring-Session。这样第2个问题也解决了。
同域下的单点登录就实现了,但这还不是真正的单点登录。
同域下的单点登录是巧用了Cookie顶域的特性。如果是不同域呢?不同域之间Cookie是不共享的,怎么办?
这里我们就要说一说CAS流程了,这个流程是单点登录的标准流程。
上图是CAS官网上的标准流程,具体流程如下:
至此,跨域单点登录就完成了。以后我们再访问app系统时,app就是登录的。接下来,我们再看看访问app2系统时的流程。
这样,app2系统不需要走登录流程,就已经是登录了。SSO,app和app2在不同的域,它们之间的session不共享也是没问题的。
有的同学问我,SSO系统登录后,跳回原业务系统时,带了个参数ST,业务系统还要拿ST再次访问SSO进行验证,觉得这个步骤有点多余。他想SSO登录认证通过后,通过回调地址将用户信息返回给原业务系统,原业务系统直接设置登录状态,这样流程简单,也完成了登录,不是很好吗?
其实这样问题时很严重的,如果我在SSO没有登录,而是直接在浏览器中敲入回调的地址,并带上伪造的用户信息,是不是业务系统也认为登录了呢?这是很可怕的。
单点登录(SSO)的所有流程都介绍完了,原理大家都清楚了。总结一下单点登录要做的事情:
参考自己写的【关于JWT/TOKEN】文章
什么是单点登录
单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。 企业应用集成(EAI, Enterprise Application Integration)。企业应用集成可以在不同层面上进行:例如在数据存储层面上的“数据大...
sso具体是什么意思
SSO的具体含义是单点登录。单点登录是一种广泛应用于互联网技术的安全认证方式。其核心思想是在多个应用系统中,用户只需进行一次登录验证,即可访问所有已授权的服务或资源,无需再次进行身份验证。这种技术为用户带来了极大的便利性和良好的用户体验。详细解释如下:1. 单点登录的概念:SSO技术通过创建一...
面试官:说说什么是单点登录?什么是SSO?什么是CAS?
面试官提问时,提到的单点登录(SSO)是一种简化用户登录体验的技术,它允许用户在一个认证服务器上完成一次登录后,无需再次验证即可访问多个相互信任的应用系统。这种方式降低了登录时间消耗,提升了用户体验。SSO的一个著名实现是CAS(Central Authentication Service),由Yale大学开发,提供了一种企业级的...
什么是单点登录
单点登录是一种用户身份验证机制。单点登录是一种在多个应用或系统中实现用户身份验证的方式。用户只需在某个系统中进行一次登录验证,便能访问其关联的所有应用或服务。该机制主要解决用户需要在多个系统中多次登录的麻烦。下面是关于单点登录的详细解释:单点登录的核心在于用户身份的统一管理。当用户首次...
单点登录是什么
ticket识别与应用集成:每个应用系统需要具备解析ticket的能力,通过与认证系统的交互,确认用户是否已登录,从而实现单点登录功能的无缝衔接。总的来说,单点登录是一种技术手段,通过简化用户登录流程,优化了企业级应用的协作体验。它通过背后的技术集成,使得复杂的系统环境变得更为便捷高效。
单点登录是什么意思?
单点登录是指用户只需要登录一次就可以访问所有相互信任的应用系统。单点登录其中有一个非常关键的步骤,这个步骤与服务器端验证令牌方式无关,用最早的共享会话方式或当前的令牌方式,标识到浏览器端。用户登录成功后,浏览器如何在其他域名中存储和共享令牌相同的域名非常简单。令牌存储在cookie中路径设置在...
SSO具体是什么意思?
SSO,即Single Sign-On,直译为"单点登录",是一种强大的技术概念。在多应用系统环境中,它的核心理念是用户只需进行一次身份验证,即可无缝访问所有相互信任的系统,无需在每个系统中单独登录。它的核心功能在于,通过一个主要的登录动作,能够映射并授权用户在其他相关应用中的身份,简化了用户的操作流程...
如何理解单点登录SSO
单点登录(SSO)本质上是一种便捷的登录方式,它允许用户在多个相关系统中,只要在一个系统成功登录,便无需重复登录就能访问其他系统的服务。这是一种通用的解决方案,不仅仅局限于完整的系统,而是可以应用在接口方法中,只要能满足简化登录流程的需求,都可视为SSO的体现。首先,大型平台通常会采用统一的...
single sign-on 什么意思?
Single Sign-On 单点登录 简介: 单点登录,简单说,就是通过用户的一次性鉴别登录,即可获得需访问系统和应用软件的授权,在此条件下,管理员无需修改或干涉用户登录就能方便的实施希望得到的安全控制。这是一个为了能够在分布式计算机环境中,安全和方便的鉴别用户而产生的课题。
SSO是什么
SSO指的是单点登录(Single Sign On),当用户在身份认证服务器上登录了一次以后,即可获得访问单点登录系统中其他联邦系统和应用软件的权限。同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的,这意味着在多个应用系统中,用户只需一次登录就可以访问所有相互信任的应用系统。单点登录是多个...
莘玉金锁: 单点登录通俗点讲就是只需要登录一次就可以访问所有相互信任的应用系统.应该没有没有比这个更通俗的了. 单点登录如何实现呢?有些大公司可能会想着自己研发实现,但是他们面临的问题就是没有集成公司所有的系统,各个系统的协议及接口不一样,导致无法完美的姐姐自研系统和没有标准接口应用的问题. 不过现在已经公司专攻这个方向并实现了产品化,比如玉符科技sso,可以去了解一下.
合浦县17681934053: 为什么我的手机e站图片加载不出来呢? - ?
莘玉金锁: e站加载图片卡顿第一种情况,你的网速太慢,图片加载不出来.第二种情况,网站服务器解析速度慢,图片加载不出来.第三种情况,网站图片附件文件夹丢失,所以图片永远也加载不出来.除了第一种情况你能解决,其他两种都要网站站长...
合浦县17681934053: 堡垒机和防火墙有什么区别 - ?
莘玉金锁: 1、两者的性质不同 堡垒机,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、及时处...
合浦县17681934053: 我用的火狐怎么不能用淘宝旺旺跟商家聊天啊怎么办?谢谢 - ?
莘玉金锁: 尊敬的用户,您好!很高兴为您答疑.鉴于您所描述的情况,应该是您的浏览器没有顺利加载淘宝旺旺的单点登录插件,您可以尝试再行安装一次浏览器,成功安装后,您在附加组件列表中可以看到旺旺的单点登录插件,即表示您的安装成功,在此情况下您既可正常使用其相关功能.希望我的回答对您有所帮助,如有疑问,欢迎继续咨询我们.
合浦县17681934053: ios11关闭哪些功能才流畅 - ?
莘玉金锁: ios 11Developer beta 3特点:iPad应用切换器——轻扫关闭应用的手势已经恢复,在此前的测试版中用户需长按应用,点击"x"按键方可关闭应用.SOS——使用苹果的紧急提醒功能时,取消的 SOS.文件应用——OS X Server 和 ...
合浦县17681934053: ERP实施顾问是干什么的? ?
莘玉金锁: OA的实施难易由需求来决定.如果按照OA的定义,将公司深层次实现办公自动化,那么OA的实施难度比ERP会大很多.实施OA首先应该满足公司的基本协同需求,例如即时联系,文件传送,流程协作,文档管理等这些经常需要的操作,在OA上搭建流程,或者利用OA的模板来实现;在后期则可以考虑将ERP与OA数据关联起来,甚至可以考虑实现单点登录.OA在流程化管理方面和ERP有着共同的特性,就是要成功实施并且运用,BPR是不可缺少的步骤.将行政工作也进行流程化是很多企业目前达不到的,这就需要OA系统的引导.
合浦县17681934053: 阴阳师赤影刀舞六重奏活动时间和活动内容是什么活动时间和内容介绍 ?
莘玉金锁: 阴阳师赤影刀舞六重奏活动是阴阳师最新上线的活动,很多小伙伴都好奇这次活动的时间和内容是什么?小编整理了资料,感兴趣的小伙伴们一起来看看吧!阴阳师赤影刀...
合浦县17681934053: 云裳羽衣1 - 6章高分搭配汇总前六章穿什么衣服好 ?
莘玉金锁: 云裳羽衣1-6章高分搭配汇总 前六章穿什么衣服好由小编为大家带来,游戏中需要我们根据主题搭配好衣服,今天小编带来了1-6的搭配,云裳羽衣前六章穿什么衣服好?...
合浦县17681934053: 电脑版微信登录不上怎么回事 ?
莘玉金锁: 1、检查电脑的网络情况,进入电脑设置界面,点击网络,查看当前网络状态.2、如果当前网络状态不佳的话,可以点击WLAN,点击管理已知网络,最后将网络切换即可.3、重新下载微信,打开电脑管家,点击软件管理,在搜索栏中输入微信,重新下载安装微信即可.
