一、什麼是單點登入sso(single sign-on)
sso是一種統一認證和授權機制,指訪問同一伺服器不同應用中的受保護資源的同一使用者,只需要登入一次,即通過乙個應用中的安全驗證後,再訪問其他應用中的受保護資源時,不再需要重新登入驗證。
二、單點登入解決了什麼問題
解決了使用者只需要登入一次就可以訪問所有相互信任的應用系統,而不用重複登入。
三、單點登入的技術實現機制
如下圖所示:
當使用者第一次訪問應用系統1的時候,因為還沒有登入,會被引導到認證系統中進行登入;根據使用者提供的登入資訊,認證系統進行身份效驗,如果通過效驗,應該返回給使用者乙個認證的憑據--ticket;使用者再訪問別的應用的時候,就會將這個ticket帶上,作為自己認證的憑據,應用系統接受到請求之後會把ticket送到認證系統進行效驗,檢查ticket的合法性(4,6)。如果通過效驗,使用者就可以在不用再次登入的情況下訪問應用系統2和應用系統3了。
從上圖可以看出sso的實現技術點:
1)所有應用系統共享乙個身份認證系統。
統一的認證系統是
sso的前提之一。認證系統的主要功能是將使用者的登入資訊和使用者資訊庫相比較,對使用者進行登入認證;認證成功後,認證系統應該生成統一的認證標誌(
ticket
),返還給使用者。另外,認證系統還應該對
ticket
進行效驗,判斷其有效性。
2)所有應用系統能夠識別和提取ticket資訊
要實現sso
的功能,讓使用者只登入一次,就必須讓應用系統能夠識別已經登入過的使用者。應用系統應該能對
ticket
進行識別和提取,通過與認證系統的通訊,能自動判斷當前使用者是否登入過,從而完成單點登入的功能。
關於統一身份認證機制:如下圖
①使用者請求訪問業務系統。
②業務系統在系統中檢視是否有對應請求的有效令牌,若有,則讀取對應的身份資訊,允許其訪問;若沒有或令牌無效,則把使用者重定向到統一身份認證平台,並攜帶業務系統位址,進入第③步。
③在統一身份認證平台提供的頁面中,使用者輸入身份憑證資訊,平台驗證此身份憑證資訊,若有效,則生成乙個有效的令牌給使用者,進入第④步;若無效,則繼續進行認證,直到認證成功或退出為止。
④使用者攜帶第③步獲取的令牌,再次訪問業務系統。
⑤業務系統獲取使用者攜帶的令牌,提交到認證平台進行有效性檢查和身份資訊獲取。
⑥若令牌通過有效性檢查,則認證平台會把令牌對應的使用者身份資訊返回給業務系統,業務系統把身份資訊和有效令牌寫入會話狀態中,允許使用者以此身份資訊進行業務系統的各種操作;若令牌未通過有效性檢查,則會再次重定向到認證平台,返回第③步。
通過統一身份認證平台獲取的有效令牌,可以在各個業務系統之間實現應用漫遊。
四、單點登入的優點
1)提高使用者的效率。
使用者不再被多次登入困擾,也不需要記住多個 id 和密碼。另外,使用者忘記密碼並求助於支援人員的情況也會減少。
2)提高開發人員的效率。
sso 為開發人員提供了乙個通用的身份驗證框架。實際上,如果 sso 機制是獨立的,那麼開發人員就完全不需要為身份驗證操心。他們可以假設,只要對應用程式的請求附帶乙個使用者名稱,身份驗證就已經完成了。
3)簡化管理。
如果應用程式加入了單點登入協議,管理使用者帳號的負擔就會減輕。簡化的程度取決於應用程式,因為 sso 只處理身份驗證。所以,應用程式可能仍然需要設定使用者的屬性(比如訪問特權)。
五、單點登入的缺點
1)不利於重構
因為涉及到的系統很多,要重構必須要相容所有的系統,可能很耗時
2) 無人看守桌面
因為只需要登入一次,所有的授權的應用系統都可以訪問,可能導致一些很重要的資訊洩露。
好文要頂
關注我收藏該文
yupeng
關注 - 6
粉絲 - 301
+加關注
19 0
posted @ 2012-05-24 23:46
收藏
sso是一種統一認證和授權機制,指訪問同一伺服器不同應用中的受保護資源的同一使用者,只需要登入一次,即通過乙個應用中的安全驗證後,再訪問其他應用中的受保護資源時,不再需要重新登入驗證。
二、單點登入解決了什麼問題
解決了使用者只需要登入一次就可以訪問所有相互信任的應用系統,而不用重複登入。
三、單點登入的技術實現機制
如下圖所示:
當使用者第一次訪問應用系統1的時候,因為還沒有登入,會被引導到認證系統中進行登入;根據使用者提供的登入資訊,認證系統進行身份效驗,如果通過效驗,應該返回給使用者乙個認證的憑據--ticket;使用者再訪問別的應用的時候,就會將這個ticket帶上,作為自己認證的憑據,應用系統接受到請求之後會把ticket送到認證系統進行效驗,檢查ticket的合法性(4,6)。如果通過效驗,使用者就可以在不用再次登入的情況下訪問應用系統2和應用系統3了。
從上圖可以看出sso的實現技術點:
1)所有應用系統共享乙個身份認證系統。
統一的認證系統是
sso的前提之一。認證系統的主要功能是將使用者的登入資訊和使用者資訊庫相比較,對使用者進行登入認證;認證成功後,認證系統應該生成統一的認證標誌(
ticket
),返還給使用者。另外,認證系統還應該對
ticket
進行效驗,判斷其有效性。
2)所有應用系統能夠識別和提取ticket資訊
要實現sso
的功能,讓使用者只登入一次,就必須讓應用系統能夠識別已經登入過的使用者。應用系統應該能對
ticket
進行識別和提取,通過與認證系統的通訊,能自動判斷當前使用者是否登入過,從而完成單點登入的功能。
關於統一身份認證機制:如下圖
①使用者請求訪問業務系統。
②業務系統在系統中檢視是否有對應請求的有效令牌,若有,則讀取對應的身份資訊,允許其訪問;若沒有或令牌無效,則把使用者重定向到統一身份認證平台,並攜帶業務系統位址,進入第③步。
③在統一身份認證平台提供的頁面中,使用者輸入身份憑證資訊,平台驗證此身份憑證資訊,若有效,則生成乙個有效的令牌給使用者,進入第④步;若無效,則繼續進行認證,直到認證成功或退出為止。
④使用者攜帶第③步獲取的令牌,再次訪問業務系統。
⑤業務系統獲取使用者攜帶的令牌,提交到認證平台進行有效性檢查和身份資訊獲取。
⑥若令牌通過有效性檢查,則認證平台會把令牌對應的使用者身份資訊返回給業務系統,業務系統把身份資訊和有效令牌寫入會話狀態中,允許使用者以此身份資訊進行業務系統的各種操作;若令牌未通過有效性檢查,則會再次重定向到認證平台,返回第③步。
通過統一身份認證平台獲取的有效令牌,可以在各個業務系統之間實現應用漫遊。
四、單點登入的優點
1)提高使用者的效率。
使用者不再被多次登入困擾,也不需要記住多個 id 和密碼。另外,使用者忘記密碼並求助於支援人員的情況也會減少。
2)提高開發人員的效率。
sso 為開發人員提供了乙個通用的身份驗證框架。實際上,如果 sso 機制是獨立的,那麼開發人員就完全不需要為身份驗證操心。他們可以假設,只要對應用程式的請求附帶乙個使用者名稱,身份驗證就已經完成了。
3)簡化管理。
如果應用程式加入了單點登入協議,管理使用者帳號的負擔就會減輕。簡化的程度取決於應用程式,因為 sso 只處理身份驗證。所以,應用程式可能仍然需要設定使用者的屬性(比如訪問特權)。
五、單點登入的缺點
1)不利於重構
因為涉及到的系統很多,要重構必須要相容所有的系統,可能很耗時
2) 無人看守桌面
因為只需要登入一次,所有的授權的應用系統都可以訪問,可能導致一些很重要的資訊洩露。
SSO單點登入
單點登入sso single sign on 就是在多個系統共存的環境下,使用者在一處登入 就不用在其他系統中登入,也就是使用者的一次登入就可以得到其他所有系統的信任。要點 儲存信任 驗證信任 最簡單實現sso的方法就是cookie,實現流程 然而cookie有如下缺點 1 cookie不安全 2 ...
sso單點登入
一 什麼是單點登入sso single sign on sso是一種統一認證和授權機制,指訪問同一伺服器不同應用中的受保護資源的同一使用者,只需要登入一次,即通過乙個應用中的安全驗證後,再訪問其他應用中的受保護資源時,不再需要重新登入驗證。二 單點登入解決了什麼問題 解決了使用者只需要登入一次就可以...
sso單點登入
1 sso single sign on 單點登入 解決了使用者只需要登入一次就可以訪問所有相互信任的應用系統,而不用重複登入,對使用者資訊進行統一管理。2 session共享 分布式中,為了提公升集群效能,我把使用者的session資訊儲存到redis中,key的格式例如 user session...