单点登录
一、SSO,单点登录(single sign on),是指在多系统应用群中登录一个系统,便可在其他所有系统中得到授权而无需再次登录,包括单点登录和单点注销。
二、单点登录需求:多套系统能够识别同一用户身份,并实时同步用户信息以使各个系统进行相应的权限控制。一般单点登录实现一个系统登录,其他系统即可登录;一个系统注销,其他系统也会注销;一个系统登录信息过期,其他系统的登录信息也会过期。
三、实际应用中,单点登录的最佳环境是:
用户在多套系统只有一个用户名和密码,即多套系统共享这一套用户名和密码,以及各应用系统采用的技术架构相同,域名后缀相同。
单点登录的最坏的环境是:
用户在多套系统有各自的用户名和密码,每个系统都各自存储了各自的用户信息,且每套系统采用的技术架构不同,域名后缀也不同。
四、SSO的两种架构与三种实现技术
从应用架构层面,SSO主要可以分为集中验证模式和多点验证模式。
集中验证模式:当应用系统需要登录时,统一交由验证服务器完成功能登录动作,应用系统不提供登录接入(登录界面)。
相对于多点验证模式来说,集中验证模式的适用范围更广,而且在SSO服务器中使用的是统一的用户名密码,用户无需关注登录的是哪套系统的账号,所以用户体验更加优秀。由于所有的登录都放在了统一的服务器,所以当集中验证服务器宕机时,
所有系统无法正常登录,或丢失SSO的功能,建议以独立服务器作为集中验证服务器,并需要保证登录服务器的稳定性。
多点验证模式:应用系统供各自的登录界面,登录了一套系统后,另外其他系统无需再次登录即可通过身份验证。
在多点验证模式的模式下,所有的登录操作都在应用系统完成,任何一套系统宕机不会对其它系统产生影响,也不会影响正常运行系统间的SSO。但若各套系统的账号不一样的时候,若要用户区分每套系统的用户密码,必定会降低用户的体验,
为了解决该问题,多点登录模式最好有统一的用户密码验证的服务(如LDAP身份验证)。另外,多点登录模式相对集中验证模式来说会存在更多的技术限制。
从SSO技术实现的角度,SSO的实现通常有一下三种技术实现途径:代理登录(agent)、令牌环(token),身份票据(ticket)。
代理登录(agent):代理登录的原理就是在IE端通过表单提交的方式模拟应用系统的登录操作,实现SSO。
代理登录的优点就是无需对原有系统做任何改造,适用于无法改造的旧系统;
其缺点很明显:
1、稳定性差,一旦登录期间某台服务器无法响应,则该服务器无法单点登录。
2、安全性差,用户名密码通过明文传输。
3、由于登录期间需要监控各个系统的响应,所以不建议大量使用,否则会影响登录的性能。
4、由于IE的安全限制,代理登录必须在同域的情况下运行。
令牌环(token):通过Cookie共享令牌环的方式传递当前用户信息,实现SSO。
令牌环的方式最大好处在于无需统一的验证服务器,是“多点验证模式”的主力实现技术,各个服务器都通过统一的密钥对令牌进行加密解密,所以该方式具有安全性高、稳定性好、性能消耗低等优点;其缺点就是必须保证各台应用服务器同域。
身份票据(ticket):与令牌环不一样,身份票据是通过URL的方式传递,通过“两次握手”的方式,实现SSO。(如开源的CAS就是这种原理)
身份票据的方式,是适用范围最广的一种SSO实现方式,可以解决跨域等问题,安全性高、稳定性好;其缺点就是必须增加一台验证服务器,保证在高压下验证服务器的稳定运行,性能方面由于每次登录都需要访问验证服务器,所以比令牌环的方式略差一点。
三种技术实现途径的比较
比较项 | 代理登录 | 令牌环 | 身份票据 |
需求实现程度 | 无法实现同时切换用户与会话同时过期 | 全部 | 全部 |
对原系统改造 | 无 | 小量改造 | 小量改造 |
安全性 | 低 | 高 | 高 |
稳定性 | 偏低 | 好 | 好 |
性能开销 | 登录瞬间压力大一点 | 非常小 | 较小 |
适用范围 | 同域,对用户密码不一致的系统,需在登录服务器的用户凭证库保存用户密码映射 | 同域,对不同登录名需增加对用户凭证库的访问 | 所有可改造的系统,对不同登录名需在登录服务器的用户凭证库保存用户映射 |
独立验证服务器 | 需要 | 不需要 | 需要 |
登录模式支持 | 集中验证模式 | 集中验证模式/多点验证模式 | 集中验证模式 |
本人小白,在对接过程中遇到单点登录问题,查找网上资料记录一下。
token实现思路:
1、用户登录校验,校验成功后就返回Token给客户端。
2、客户端收到数据后保存在客户端。
3、客户端每次访问API是携带Token到服务器端。
4、服务器端采用filter过滤器校验,校验成功则返回请求数据,校验失败则返回错误码
ticket实现思路:
1、访问服务:sso客户端发送请求访问应用程序提供的服务资源。
2、定向认证:sso客户端会重定向用户请求到sso服务器。
3、用户认证:进行用户身份认证。
4、发放票据:sso服务器会产生一个随机的ServiceTicket。
5、验证票据:sso服务器验证票据ServiceTicket的合法性,验证通过后,允许客户端访问服务。
6、传输用户信息:sso服务器验证票据通过后,传输用户认证结果信息给客户端。
详细CAS实现单点登陆原理请参考 http://blog.csdn.net/javaloveiphone/article/details/52439613,我觉得讲的很详细。