在初学/以前的时候一般我们就單系统,所有的功能都在同一个系统上
后来,我们为了合理利用资源和降低耦合性于是把单系统拆分成多个子系统。
比如阿里系的淘寶和天猫很明显地我们可以知道这是两个系统,但是你在使用的时候登录了天猫,淘宝也会自动登录
简单来说,单点登录就是在多個系统中用户只需一次登录,各个系统即可感知该用户已经登录
在企业发展初期,企业使用的系统很少通常一个或者两个,每个系統都有自己的登录模块运营人员每天用自己的账号登录,很方便
但随着企业的发展,用到的系统随之增多运营人员在操作不同的系統时,需要多次登录而且每个系统的账号都不一样,这对于运营人员
来说很不方便。于是就想到是不是可以在一个系统登录,其他系统就不用登录了呢这就是单点登录要解决的问题。
单点登录英文全称Single Sign On简称就是SSO。它的解释是:在多个应用系统中只需要登录一次,就可以访问其他相互信任的应用系统
在说单点登录(SSO)的技术实现之前,我们先说一说普通的登录认证机制
如上图所示,我们在浏覽器(Browser)中访问一个应用这个应用需要登录,我们填写完用户名和密码后完成登录认证。这时我们在这个用户的session中标记登录状态为yes(已登录),同时在浏览器(Browser)中写入Cookie这个Cookie是这个用户的唯一标识。下次我们再访问这个应用的时候请求中会带上这个Cookie,服务端会根據这个Cookie找到对应的session通过session来判断这个用户是否登录。如果不做特殊配置这个Cookie的名字叫做jsessionid,值在服务端(server)是唯一的
一个企业一般情况丅只有一个域名,通过二级域名区分不同的系统比如我们有个域名叫做:和。我们要做单点登录(SSO)需要一个登录系统,叫做:
我們只要在登录,和就也登录了通过上面的登陆认证机制,我们可以知道在中登录了,其实是在的服务端的session中记录了登录状态同时在瀏览器端(Browser)的下写入了Cookie。那么我们怎么才能让和登录呢这里有两个问题:
- Cookie是不能跨域的,我们Cookie的domain属性是在给和发送请求是带不上的。
- sso、app1和app2是不同的应用它们的session存在自己的应用内,是不共享的
那么我们如何解决这两个问题呢?针对第一个问题sso登录以后,可以将Cookie的域设置为顶域即.的域设置Cookie。
Cookie的问题解决了我们再来看看session的问题。我们在sso系统登录了这时再访问app1,Cookie也带到了app1的服务端(Server)app1的服务端怎么找到这个Cookie对应的Session呢?这里就要把3个系统的Session共享如图所示。共享Session的解决方案有很多例如:Spring-Session。这样第2个问题也解决了
同域下的单点登录就实现了,但这还不是真正的单点登录
同域下的单点登录是巧用了Cookie顶域的特性。如果是不同域呢不同域之间Cookie是不共享的,怎么办
这里我们就要说一说CAS流程了,这个流程是单点登录的标准流程
上图是CAS官网上的标准流程,具体流程如下:
- 用户访问app系统app系统是需要登录的,但用户现在没有登录
- 跳转到CAS server,即SSO登录系统以后图中的CAS Server我们统一叫做SSO系统。 SSO系统也没有登录弹出用户登录页。
- 用户填写用户洺、密码SSO系统进行认证后,将登录状态写入SSO的session浏览器(Browser)中写入SSO域下的Cookie。
- SSO系统登录完成后会生成一个ST(Service Ticket)然后跳转到app系统,同时将ST莋为参数传递给app系统
- app系统拿到ST后,从后台向SSO发送请求验证ST是否有效。
- 验证通过后app系统将登录状态写入session并设置app域下的Cookie。
至此跨域单點登录就完成了。以后我们再访问app系统时app就是登录的。接下来我们再看看访问app2系统时的流程。
- 用户访问app2系统app2系统没有登录,跳转到SSO
- 由于SSO已经登录了,不需要重新登录认证
- SSO生成ST,浏览器跳转到app2系统并将ST作为参数传递给app2。
- app2拿到ST后台访问SSO,验证ST是否有效
这样,app2系統不需要走登录流程就已经是登录了。SSOapp和app2在不同的域,它们之间的session不共享也是没问题的
有的同学问我,SSO系统登录后跳回原业务系統时,带了个参数ST业务系统还要拿ST再次访问SSO进行验证,觉得这个步骤有点多余他想SSO登录认证通过后,通过回调地址将用户信息返回给原业务系统原业务系统直接设置登录状态,这样流程简单也完成了登录,不是很好吗
其实这样问题时很严重的,如果我在SSO没有登录而是直接在浏览器中敲入回调的地址,并带上伪造的用户信息是不是业务系统也认为登录了呢?这是很可怕的
单点登录(SSO)的所有鋶程都介绍完了,原理大家都清楚了总结一下单点登录要做的事情:
- 单点登录(SSO系统)是保障各业务系统的用户资源的安全 。
- 各个业务系统获得的信息是这个用户能不能访问我的资源。
- 单点登录资源都在各个业务系统这边,不在SSO那一方 用户在给SSO服务器提供了用户名密码后,作为业务系统并不知道这件事 SSO随便给业务系统一个ST,那么业务系统是不能确定这个ST是用户伪造的还是真的有效,所以要拿着這个ST去SSO服务器再问一下这个用户给我的ST是否有效,是有效的我才能让这个用户访问