聊一聊单点登录系统

作者: 我是小徐同学 | 来源:发表于2017-09-17 14:00 被阅读351次

    之前做了单点登录系统,然后也查阅了一些资料,参考着这些资料加上自己的理解,本文就聊一聊单点登录系统以及实现原理,但并不涉及代码部分,希望此文能对你有所帮助。

    我爱学习

    首先要说明的是,单点登录并不是说像咱们登录 QQ 一样,只能在一个设备登录,这不叫单点登录。如果有人这么对你解释,要记得保持微笑。

    1、为什么需要单点登录系统

    单点登录在大型网站里使用得非常频繁,例如像天猫这样的网站,在网站的背后是成百上千的子系统,不信往下看。

    进去天猫之后,地址栏是这样的:

    天猫首页

    然后你想看看男装,地址栏又变成这样的了:

    天猫男装

    然后突然又想看看女鞋,地址栏又变了:

    天猫女鞋

    你看,就点了这几下就涉及到三个子系统,所以说像天猫这种大型商城涉及到非常多的子系统。

    用户一次操作或交易可能涉及到几十个子系统的协作,如果每个子系统都需要用户认证,让用户输入用户名密码,不仅用户会疯掉,各子系统也会为这种重复认证授权的逻辑搞疯掉。

    2、单点登录系统简介

    单点登录系统又称 Single Sign On(以下简称 SSO),所谓单点登录就是说,在相互信任的应用中,只需登陆一次即可相互访问,也就是用户的一次登录能得到其他所有系统的信任。

    举个栗子:

    你周末和小伙伴喜滋滋的去了游乐场玩耍,进游乐场之后想玩云霄飞车,然后工作人员对你们一通检查,你觉得正常,检查就检查呗。

    然后又去玩摩天轮,工作人员又是对你们一通检查,耽误时间不说,而且已经检查过了,再检查也没意义了,好吧,为了玩耍你忍了。

    你又想去玩过山车了,工作人员又把你拦住了,要检查,统统检查,这时候你可能就不能忍了。

    那么这个时候如果第一次检查之后给你发个令牌,以后想玩所有的项目都不需要检查了,想玩什么玩什么,多好。

    这就是所谓的单点登录,只需一次登录就行了。

    对于我们得项目来说,无论 web 系统内部多么复杂,对用户而言,都是一个统一的整体,也就是说,用户访问 web 系统的整个应用群与访问单个系统一样,登录/注销只要一次就够了。

    3、单点登录系统原理

    sso 需要一个独立的认证中心,只有认证中心能接受用户的用户名密码等安全信息,其他系统不提供登录入口,只接受认证中心的间接授权。间接授权通过令牌实现,sso认证中心验证用户的用户名密码没问题,创建授权令牌,在接下来的跳转过程中,授权令牌作为参数发送给各个子系统,子系统拿到令牌,即得到了授权,可以借此创建局部会话,局部会话登录方式与单系统的登录方式相同。

    用户登录成功之后,会与 sso 认证中心及各个子系统建立会话,用户与
    sso 认证中心建立的会话称为全局会话,用户与各个子系统建立的会话称为局部会话。

    单点登录的原理如下图所述:

    单点登录原理图

    对上图简要说明:

    • 用户访问系统1,系统 1 发现用户未登录,跳转至 sso 认证中心,并将自己的地址作为参数;
    • sso 认证中心发现用户未登录,将用户引导至登录页面;
    • 用户输入用户名密码提交登录申请;
    • sso 认证中心校验用户信息,创建用户与 sso 认证中心之间的会话,称为全局会话,同时创建授权令牌;
    • sso 认证中心带着令牌跳转会最初的请求地址(系统 1);
    • 系统 1 拿到令牌,去 sso 认证中心校验令牌是否有效;
    • sso 认证中心校验令牌,返回有效,注册系统 1;
    • 系统1使用该令牌创建与用户的会话,称为局部会话,返回受保护资源
      用户访问系统 2;
    • 系统 2 发现用户未登录,跳转至 sso 认证中心,并将自己的地址作为参数;
    • sso 认证中心发现用户已登录,跳转回系统 2 的地址,并附上令牌;
    • 系统 2 拿到令牌,去 sso 认证中心校验令牌是否有效;
    • sso 认证中心校验令牌,返回有效,注册系统 2;
    • 系统 2 使用该令牌创建与用户的局部会话。

    4、单点注销

    单点注销就是说,在一个子系统中注销,所有子系统的会话都将被销毁,如下图所示:

    单点注销

    sso 认证中心一直监听全局会话的状态,一旦全局会话销毁,监听器将通知所有注册系统执行注销操作。

    下面对上图简要说明:

    • 用户向系统 1 发起注销请求;
    • 系统 1 根据用户与系统 1 建立的会话 id 拿到令牌,向 sso 认证中心发起注销请求;
    • sso 认证中心校验令牌有效,销毁全局会话,同时取出所有用此令牌注册的系统地址;
    • sso 认证中心向所有注册系统发起注销请求;
    • 各注册系统接收 sso 认证中心的注销请求,销毁局部会话;
    • sso 认证中心引导用户至登录页面。

    希望你帮助到你,还请大家多多关注,谢谢喽~

    相关文章

      网友评论

      • a9ae30bc446e:提出2个不懂的问题:
        单点登录示意图解释的片段中,用户成功登录系统1,现在要去访问系统2,楼主说:“
        系统 2 发现用户未登录,跳转至 sso 认证中心,并将自己的地址作为参数;sso 认证中心发现用户已登录,跳转回系统 2 的地址,并附上令牌;” 其中,系统2将自己的地址作为参数发送到sso认证中心,认证中心根据什么判断这个请求是几个已经认证的用户?
        我是小徐同学:@我是一个程序员 已经认证的不同的用户,生成的 ticket 是不同的
      • Hawken:get了,从知识星球来的
        我是小徐同学:@Hawken 哎呦,好开心啊,希望以后能共同进步:stuck_out_tongue:

      本文标题:聊一聊单点登录系统

      本文链接:https://www.haomeiwen.com/subject/spvpsxtx.html