之前做了单点登录系统,然后也查阅了一些资料,参考着这些资料加上自己的理解,本文就聊一聊单点登录系统以及实现原理,但并不涉及代码部分,希望此文能对你有所帮助。
首先要说明的是,单点登录并不是说像咱们登录 QQ 一样,只能在一个设备登录,这不叫单点登录。如果有人这么对你解释,要记得保持微笑。
1、为什么需要单点登录系统
单点登录在大型网站里使用得非常频繁,例如像天猫这样的网站,在网站的背后是成百上千的子系统,不信往下看。
进去天猫之后,地址栏是这样的:
然后你想看看男装,地址栏又变成这样的了:
然后突然又想看看女鞋,地址栏又变了:
你看,就点了这几下就涉及到三个子系统,所以说像天猫这种大型商城涉及到非常多的子系统。
用户一次操作或交易可能涉及到几十个子系统的协作,如果每个子系统都需要用户认证,让用户输入用户名密码,不仅用户会疯掉,各子系统也会为这种重复认证授权的逻辑搞疯掉。
2、单点登录系统简介
单点登录系统又称 Single Sign On(以下简称 SSO),所谓单点登录就是说,在相互信任的应用中,只需登陆一次即可相互访问,也就是用户的一次登录能得到其他所有系统的信任。
举个栗子:
你周末和小伙伴喜滋滋的去了游乐场玩耍,进游乐场之后想玩云霄飞车,然后工作人员对你们一通检查,你觉得正常,检查就检查呗。
然后又去玩摩天轮,工作人员又是对你们一通检查,耽误时间不说,而且已经检查过了,再检查也没意义了,好吧,为了玩耍你忍了。
你又想去玩过山车了,工作人员又把你拦住了,要检查,统统检查,这时候你可能就不能忍了。
那么这个时候如果第一次检查之后给你发个令牌,以后想玩所有的项目都不需要检查了,想玩什么玩什么,多好。
这就是所谓的单点登录,只需一次登录就行了。
对于我们得项目来说,无论 web 系统内部多么复杂,对用户而言,都是一个统一的整体,也就是说,用户访问 web 系统的整个应用群与访问单个系统一样,登录/注销只要一次就够了。
3、单点登录系统原理
sso 需要一个独立的认证中心,只有认证中心能接受用户的用户名密码等安全信息,其他系统不提供登录入口,只接受认证中心的间接授权。间接授权通过令牌实现,sso认证中心验证用户的用户名密码没问题,创建授权令牌,在接下来的跳转过程中,授权令牌作为参数发送给各个子系统,子系统拿到令牌,即得到了授权,可以借此创建局部会话,局部会话登录方式与单系统的登录方式相同。
用户登录成功之后,会与 sso 认证中心及各个子系统建立会话,用户与
sso 认证中心建立的会话称为全局会话,用户与各个子系统建立的会话称为局部会话。
单点登录的原理如下图所述:
对上图简要说明:
- 用户访问系统1,系统 1 发现用户未登录,跳转至 sso 认证中心,并将自己的地址作为参数;
- sso 认证中心发现用户未登录,将用户引导至登录页面;
- 用户输入用户名密码提交登录申请;
- sso 认证中心校验用户信息,创建用户与 sso 认证中心之间的会话,称为全局会话,同时创建授权令牌;
- sso 认证中心带着令牌跳转会最初的请求地址(系统 1);
- 系统 1 拿到令牌,去 sso 认证中心校验令牌是否有效;
- sso 认证中心校验令牌,返回有效,注册系统 1;
- 系统1使用该令牌创建与用户的会话,称为局部会话,返回受保护资源
用户访问系统 2; - 系统 2 发现用户未登录,跳转至 sso 认证中心,并将自己的地址作为参数;
- sso 认证中心发现用户已登录,跳转回系统 2 的地址,并附上令牌;
- 系统 2 拿到令牌,去 sso 认证中心校验令牌是否有效;
- sso 认证中心校验令牌,返回有效,注册系统 2;
- 系统 2 使用该令牌创建与用户的局部会话。
4、单点注销
单点注销就是说,在一个子系统中注销,所有子系统的会话都将被销毁,如下图所示:
sso 认证中心一直监听全局会话的状态,一旦全局会话销毁,监听器将通知所有注册系统执行注销操作。
下面对上图简要说明:
- 用户向系统 1 发起注销请求;
- 系统 1 根据用户与系统 1 建立的会话 id 拿到令牌,向 sso 认证中心发起注销请求;
- sso 认证中心校验令牌有效,销毁全局会话,同时取出所有用此令牌注册的系统地址;
- sso 认证中心向所有注册系统发起注销请求;
- 各注册系统接收 sso 认证中心的注销请求,销毁局部会话;
- sso 认证中心引导用户至登录页面。
希望你帮助到你,还请大家多多关注,谢谢喽~
