江苏龙网

  1. 首页 > 资讯 > 科技 > >

互联网|10张流程图+部署图,讲透单点登录原理与简单实现( 二 )


互联网|10张流程图+部署图,讲透单点登录原理与简单实现
本文插图

虽然单系统的登录解决方案很完美 , 但对于多系统应用群已经不再适用了 , 为什么呢?

单系统登录解决方案的核心是cookie , cookie携带会话id在浏览器与服务器之间维护会话状态 。 但cookie是有限制的 , 这个限制就是cookie的域(通常对应网站的域名) , 浏览器发送http请求时会自动携带与该域匹配的cookie , 而不是所有cookie
互联网|10张流程图+部署图,讲透单点登录原理与简单实现
本文插图

既然这样 , 为什么不将web应用群中所有子系统的域名统一在一个顶级域名下 , 例如“*.baidu.com” , 然后将它们的cookie域设置为“baidu.com” , 这种做法理论上是可以的 , 甚至早期很多多系统登录就采用这种同域名共享cookie的方式 。
然而 , 可行并不代表好 , 共享cookie的方式存在众多局限 。 首先 , 应用群域名得统一;其次 , 应用群各系统使用的技术(至少是web服务器)要相同 , 不然cookie的key值(tomcat为JSESSIONID)不同 , 无法维持会话 , 共享cookie的方式是无法实现跨语言技术平台登录的 , 比如java、php、.net系统之间;第三 , cookie本身不安全 。
因此 , 我们需要一种全新的登录方式来实现多系统应用群的登录 , 这就是单点登录
三、单点登录
什么是单点登录?单点登录全称Single Sign On(以下简称SSO) , 是指在多系统应用群中登录一个系统 , 便可在其他所有系统中得到授权而无需再次登录 , 包括单点登录与单点注销两部分

1、登录
相比于单系统登录 , sso需要一个独立的认证中心 , 只有认证中心能接受用户的用户名密码等安全信息 , 其他系统不提供登录入口 , 只接受认证中心的间接授权 。
间接授权通过令牌实现 , sso认证中心验证用户的用户名密码没问题 , 创建授权令牌 , 在接下来的跳转过程中 , 授权令牌作为参数发送给各个子系统 , 子系统拿到令牌 , 即得到了授权 , 可以借此创建局部会话 , 局部会话登录方式与单系统的登录方式相同 。 这个过程 , 也就是单点登录的原理 , 用下图说明
互联网|10张流程图+部署图,讲透单点登录原理与简单实现
本文插图

下面对上图简要描述
1. 用户访问系统1的受保护资源 , 系统1发现用户未登录 , 跳转至sso认证中心 , 并将自己的地址作为参数
2. sso认证中心发现用户未登录 , 将用户引导至登录页面
3. 用户输入用户名密码提交登录申请
4. sso认证中心校验用户信息 , 创建用户与sso认证中心之间的会话 , 称为全局会话 , 同时创建授权令牌
5. sso认证中心带着令牌跳转会最初的请求地址(系统1)
6. 系统1拿到令牌 , 去sso认证中心校验令牌是否有效
7. sso认证中心校验令牌 , 返回有效 , 注册系统1
8. 系统1使用该令牌创建与用户的会话 , 称为局部会话 , 返回受保护资源

9. 用户访问系统2的受保护资源
10. 系统2发现用户未登录 , 跳转至sso认证中心 , 并将自己的地址作为参数
11. sso认证中心发现用户已登录 , 跳转回系统2的地址 , 并附上令牌
12. 系统2拿到令牌 , 去sso认证中心校验令牌是否有效
13. sso认证中心校验令牌 , 返回有效 , 注册系统2
14. 系统2使用该令牌创建与用户的局部会话 , 返回受保护资源
用户登录成功之后 , 会与sso认证中心及各个子系统建立会话 , 用户与sso认证中心建立的会话称为全局会话 , 用户与各个子系统建立的会话称为局部会话 , 局部会话建立之后 , 用户访问子系统受保护资源将不再通过sso认证中心 , 全局会话与局部会话有如下约束关系


推荐阅读


上一篇:中年|7nm延迟6个月,英特尔的芯片也要外包了

下一篇:融资并购|隆平链完成首笔融资业务 实现区块链技术在农业供应链的集成应用