单点登录 SSO 的实现

简介: 单点登录让你一次性解决多应用认证的繁琐

🎈 什么是单点登录

  • 单点登录:SSO(Single Sign On) 用户只需登录一次,就可访问同一帐号平台下的多个应用系统。
  • 比如阿里巴巴这样的大集团,旗下有很多的服务系统,比如天猫,淘宝,1688等等,如果每个子系统都需要用户进行登录认证,估计用户会被烦死。
  • SSO 是一种统一认证和授权机制,去解决这种重复认证的逻辑,提高用户的体验。

snipaste20220707_171450.jpg


🎈 单点登录的凭证

  • 由单点登录的原理,可以看出来,最重要的就是这个通用的登录凭证 ticket 如何获得
  • 而实现 ticket 多应用共享主要有三种方式:父域加密 Cookie、用户认证中心、Localstorage


🎈 父域 Cookie 方式

  • 用户在登录父应用后,服务端返回用户登录后的 cookie,客户端将该 cookie 保存到父域中
  • 这个 cookie 最好经过加密处理,因为 Cookie 本身并不安全
  • 这种加密算法只有服务端才可以知道,服务端的解密算法不能暴漏
  • 放在父域中,主要是因为 Cookie 不能跨域实现免登,放到父域中可以解决跨域的问题
  • 父域也就是 domain 要设置成主域名,而非二级域名,这样二级域名就可以使用同一个 Cookie
// 如果某个平台有三个应用,分别是:// 门户应用:www.autofelix.com// 商城应用:shop.autofelix.com// 支付应用:pay.autofelix.comdocument.cookie="ticket=xxxxxx;domain=.autofelix.com;path=/


🎈 用户认证中心方式

  • 使用一个认证中心,用来专门负责处理登录请求
  • 用户中心不处理业务逻辑,只是处理用户信息的管理以及授权给第三方应用
  • 第三方应用需要登录的时候,则把用户的登录请求转发给用户中心进行处理,用户处理完毕返回凭证,第三方应用验证凭证,通过后就登录用户。
  • 流程是用户访问应用系统,应用系统先检查用户是否有 Ticket,如果没有,则说明用户在该应用上尚未登录,跳转到用户中心,通过用户中心的 Cookie 去判断用户是否在其他应用上进行了登录
  • 如果认证中心发现用户尚未在其他任何应用上执行过登录,则提示用户执行登录操作,等待用户登录后,生成 Tickcet,并让 Ticket 拼接在 URL 上,重定向回应用系统
  • 当应用系统拿到 Ticket 后,将重新向用户认证中心发起验证,防止该 Ticket 是用户伪造,验证成功后,记录用户登录状态,并将 Ticket 写入到当前应用的 Cookie
  • 而当用户访问该应用系统时,就都会带上当前的 Ticket,也就能正常访问服务了

未命名文件.jpg


🎈 localstorage方式

  • 当用户在一个应用下登录后,前端可以通过 iframe+postMessage() 方式,将同一份 Ticket 保存到多个域名下的  LocalStorage
  • 但是这种方式完全由前端控制,后端仅仅需要将用户登录成功后的 Ticket 返回给前端处理即可
  • 这样其实也实现了,多应用下单点登录的问题,并且支持跨域

未命名文件 (2).jpg

相关文章
|
安全 数据安全/隐私保护
单点登录
当今数字时代,我们面临着越来越多的在线服务和应用程序,每一个都要求我们输入用户名和密码以进行身份验证。这种情况下,如何在各种应用之间实现便捷而安全的身份验证变得至关重要。单点登录(Single Sign-On,简称SSO)便是一项解决这一问题的强大工具。在本文中,我们将详细介绍单点登录是什么以及为什么它如此重要。
|
7月前
|
缓存 JavaScript API
bladex实现单点登录
bladex实现单点登录
|
存储 数据安全/隐私保护
我对SSO单点登录和OAuth2.0的理解
单点登录(SingleSignOn,SSO),就是通过用户的一次性鉴别登录。当用户在身份认证服务器上登录一次以后,即可获得访问单点登录系统中其他关联系统和应用软件的权限,用户只需一次登录就可以访问所有相互信任的应用系统。比如我们登录了公司的OA系统之后,在页面上点击邮件系统,则无需再跳转到邮件的登录页面,点过去就直接登录成功了。
203 0
|
存储 安全 小程序
Auth2.0与单点登录
Auth2.0与单点登录
969 0
|
存储 NoSQL Redis
什么是单点登录?
我们在真正的项目开发中一个项目往往是大型的,这时候会把一个单系统拆分成多个子系统,比如淘宝和天猫,虽然是两个系统,但隶属于一个公司开发的产品,当我们登录其中一个时,另一个也会登录。
130 0
|
存储 安全 前端开发
基于OIDC的SSO单点登录
基于OIDC的SSO单点登录
1180 0
|
安全 前端开发 JavaScript
|
NoSQL 前端开发 安全
我们来聊聊单点登录吧
我们来聊聊单点登录吧
我们来聊聊单点登录吧
|
JSON NoSQL 应用服务中间件
|
XML 数据格式
SSO场景系列:实现Shibboleth+Ldap到阿里云的单点登录
Shibboleth简介 Shibboleth是一个基于标准的,实现组织内部或跨组织的网页单点登录的开源软件包。它允许站点为处于私有保护方式下的受保护的在线资源做出被通知的认证决定。 Shibboleth软件工具广泛使用联合的身份标准,主要是OASIS安全声称标记语言(SAML),来提供一个联合单点登录和属性交换框架。
7809 0

热门文章

最新文章