SSO单点登陆原理

时间  2019-11-12
标签 sso 单点 登陆 原理 栏目 软件设计 繁體版
原文   原文链接

一.单系统登陆机制

1.http无状态协议

   web应用采用browser/server架构,http做为通讯协议。http是无状态协议,浏览器的每一次请求,服务器会独立处理,不与以前或以后的请求产生关联,这个过程用下图说明,三次请求/响应对之间没有任何联系。php

  但这也同时意味着,任何用户都能经过浏览器访问服务器资源,若是想保护服务器的某些资源,必须限制浏览器请求;要限制浏览器请求,必须鉴别浏览器请求,响应合法请求,忽略非法请求;要鉴别浏览器请求,必须清楚浏览器请求状态。既然http协议无状态,那就让服务器和浏览器共同维护一个状态吧!这就是会话机制。java

2.会话跟踪技术Cookie

  浏览器第一次请求服务器,服务器建立一个会话,并将会话的id做为响应的一部分发送给浏览器,浏览器存储会话id,并在后续第二次和第三次请求中带上会话id,服务器取得请求中的会话id就知道是否是同一个用户了,这个过程用下图说明,后续请求与第一次请求产生了关联。web

3.登陆状态

  有了会话跟踪,登陆状态就好明白了,咱们假设浏览器第一次请求服务器须要输入用户名与密码验证身份,服务器拿到用户名密码去数据库比对,正确的话说明当前持有这个会话的用户是合法用户,应该将这个会话标记为“已受权”或者“已登陆”等等之类的状态,既然是会话的状态,天然要保存在会话对象(浏览器中)数据库

二.多系统的复制性

  web系统早已从久远的单系统发展成为现在由多系统组成的应用群,面对如此众多的系统,用户难道要一个一个登陆、而后一个一个注销吗?就像下图描述的这样浏览器

   web系统由单系统发展成多系统组成的应用群,复杂性应该由系统内部承担,而不是用户。不管web系统内部多么复杂,对用户而言,都是一个统一的总体,也就是说,用户访问web系统的整个应用群与访问单个系统同样,登陆/注销只要一次就够了tomcat

 

  虽然单系统的登陆解决方案很完美,但对于多系统应用群已经再也不适用了,为何呢?安全

  单系统登陆解决方案的核心是cookie,cookie携带会话id在浏览器与服务器之间维护会话状态。但cookie是有限制的,这个限制就是cookie的域(一般对应网站的域名),浏览器发送http请求时会自动携带与该域匹配的cookie,而不是全部cookie服务器

  既然这样,为何不将web应用群中全部子系统的域名统一在一个顶级域名下,例如“*.baidu.com”,而后将它们的cookie域设置为“baidu.com”,这种作法理论上是能够的,甚至早期不少多系统登陆就采用这种同域名共享cookie的方式。cookie

  然而,可行并不表明好,共享cookie的方式存在众多局限。首先,应用群域名得统一;其次,应用群各系统使用的技术(至少是web服务器)要相同,否则cookie的key值(tomcat为JSESSIONID)不一样,没法维持会话,共享cookie的方式是没法实现跨语言技术平台登陆的,好比java、php、.net系统之间;第三,cookie自己不安全。架构

  所以,咱们须要一种全新的登陆方式来实现多系统应用群的登陆,这就是单点登陆

 三.单点登陆

  什么是单点登陆?单点登陆全称Single Sign On(如下简称SSO),是指在多系统应用群中登陆一个系统,即可在其余全部系统中获得受权而无需再次登陆,包括单点登陆与单点注销两部分

一、登陆

  下面对上图简要描述

  1. 用户访问系统1的受保护资源,系统1发现用户未登陆,跳转至sso认证中心,并将本身的地址做为参数
  2. sso认证中心发现用户未登陆,将用户引导至登陆页面
  3. 用户输入用户名密码提交登陆申请
  4. sso认证中心校验用户信息,建立用户与sso认证中心之间的会话,称为全局会话,同时建立受权令牌
  5. sso认证中心带着令牌跳转会最初的请求地址(系统1)
  6. 系统1拿到令牌,去sso认证中心校验令牌是否有效
  7. sso认证中心校验令牌,返回有效,注册系统1
  8. 系统1使用该令牌建立与用户的会话,称为局部会话,返回受保护资源
  9. 用户访问系统2的受保护资源
  10. 系统2发现用户未登陆,跳转至sso认证中心,并将本身的地址做为参数
  11. sso认证中心发现用户已登陆,跳转回系统2的地址,并附上令牌
  12. 系统2拿到令牌,去sso认证中心校验令牌是否有效
  13. sso认证中心校验令牌,返回有效,注册系统2
  14. 系统2使用该令牌建立与用户的局部会话,返回受保护资源

  用户登陆成功以后,会与sso认证中心及各个子系统创建会话,用户与sso认证中心创建的会话称为全局会话,用户与各个子系统创建的会话称为局部会话,局部会话创建以后,用户访问子系统受保护资源将再也不经过sso认证中心,全局会话与局部会话有以下约束关系

  1. 局部会话存在,全局会话必定存在
  2. 全局会话存在,局部会话不必定存在
  3. 全局会话销毁,局部会话必须销毁

  你能够经过博客园、百度、csdn、淘宝等网站的登陆过程加深对单点登陆的理解,注意观察登陆过程当中的跳转url与参数

二、注销

  单点登陆天然也要单点注销,在一个子系统中注销,全部子系统的会话都将被销毁,用下面的图来讲明

 sso认证中心一直监听全局会话的状态,一旦全局会话销毁,监听器将通知全部注册系统执行注销操做

  下面对上图简要说明

  1. 用户向系统1发起注销请求
  2. 系统1根据用户与系统1创建的会话id拿到令牌,向sso认证中心发起注销请求
  3. sso认证中心校验令牌有效,销毁全局会话,同时取出全部用此令牌注册的系统地址
  4. sso认证中心向全部注册系统发起注销请求
  5. 各注册系统接收sso认证中心的注销请求,销毁局部会话
  6. sso认证中心引导用户至登陆页面
相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程