单点登录SSO的实现原理

系统 2344 0

单点登录SSO(Single Sign On)说得简单点就是在一个多系统共存的环境下,用户在一处登录后,就不用在其它系统中登录,也就是用户的一次登录能得到其它全部系统的信任。单点登录在大型站点里使用得很频繁,比如像阿里巴巴这种站点,在站点的背后是成百上千的子系统,用户一次操作或交易可能涉及到几十个子系统的协作,假设每一个子系统都须要用户认证,不仅用户会疯掉,各子系统也会为这种反复认证授权的逻辑搞疯掉。实现单点登录说究竟就是要解决怎样产生和存储那个信任,再就是其它系统怎样验证这个信任的有效性,因此要点也就下面几个:

  • 存储信任
  • 验证信任

仅仅要攻克了以上的问题,达到了开头讲得效果就能够说是SSO。最简单实现SSO的方法就是用Cookie,实现流程例如以下所看到的:

单点登录SSO的实现原理

不然发现以上的方案是把信任存储在client的Cookie里,这样的方法尽管实现方便但立刻会让人质疑两个问题:

  • Cookie不安全
  • 不能跨域免登

对于第一个问题一般都是通过加密Cookie来处理,第二个问题是硬伤,事实上这样的方案的思路的就是要把这个信任关系存储在client,要实现这个也不一定仅仅能用Cookie,用flash也能解决,flash的Shared Object API就提供了存储能力。

一般说来,大型系统会採取在服务端存储信任关系的做法,实现流程例如以下所看到的:

单点登录SSO的实现原理

以上方案就是要把信任关系存储在单独的SSO系统(暂且这么称呼它)里,说起来仅仅是简单地从client移到了服务端,但当中几个问题须要重点解决:

  • 怎样高效存储大量暂时性的信任数据
  • 怎样防止信息传递过程被篡改
  • 怎样让SSO系统信任登录系统和免登系统

对于第一个问题,一般能够採用相似与memcached的分布式缓存的方案,既能提供可扩展数据量的机制,也能提供高效訪问。对于第二个问题,一般採取数字签名的方法,要么通过数字证书签名,要么通过像md5的方式,这就须要SSO系统返回免登URL的时候对需验证的參数进行md5加密,并带上token一起返回,最后需免登的系统进行验证信任关系的时候,需把这个token传给SSO系统,SSO系统通过对token的验证就能够辨别信息是否被改过。对于最后一个问题,能够通过白名单来处理,说简单点仅仅有在白名单上的系统才干请求生产信任关系,同理仅仅有在白名单上的系统才干被免登录。

以上仅仅是提供了些简单的实现技术,但须要强调的是这仅仅是技术实现而已,仅仅是为了解决上面谈到的一些问题,SSO本身来说并非什么高科技,有了这个认识比較有利于我们深入探索SSO

 

单点登录SSO的实现原理


更多文章、技术交流、商务合作、联系博主

微信扫码或搜索:z360901061

微信扫一扫加我为好友

QQ号联系: 360901061

您的支持是博主写作最大的动力,如果您喜欢我的文章,感觉我的文章对您有帮助,请用微信扫描下面二维码支持博主2元、5元、10元、20元等您想捐的金额吧,狠狠点击下面给点支持吧,站长非常感激您!手机微信长按不能支付解决办法:请将微信支付二维码保存到相册,切换到微信,然后点击微信右上角扫一扫功能,选择支付二维码完成支付。

【本文对您有帮助就好】

您的支持是博主写作最大的动力,如果您喜欢我的文章,感觉我的文章对您有帮助,请用微信扫描上面二维码支持博主2元、5元、10元、自定义金额等您想捐的金额吧,站长会非常 感谢您的哦!!!

发表我的评论
最新评论 总共0条评论