SSO單點登錄
單點登錄(Single Sign-On,簡稱SSO)是一種身份驗證機制����,允許用戶在一次登錄后,就能夠訪問多個關(guān)聯(lián)的系統(tǒng)�,而無需在每個系統(tǒng)中重新進行身份驗證。
SSO單點登錄價值
要體現(xiàn)在如下2點:
1.用戶體驗提升
SSO允許用戶在一次登錄后訪問多個相關(guān)系統(tǒng)��,無需在每個系統(tǒng)中都進行繁瑣的身份驗證���。
這大大簡化了用戶的登錄過程,提高了整體的用戶體驗���。
如下圖所示:
阿里的用戶登錄一次之后���,就可以訪問淘寶�, 天貓 聚劃算���。
這樣,避免了在每個系統(tǒng)中重復(fù)輸入用戶名和密碼����,提高了用戶體驗�����。
2.提高安全性
SSO有助于集中管理用戶身份驗證和授權(quán)����,減少了密碼泄露的風(fēng)險。
而且����,還可以更容易地監(jiān)控和管理用戶的權(quán)限�����,實施更強的身份驗證,和授權(quán)策略���。
除了單一登錄,SSO通常還支持單一登出功能�,當(dāng)用戶在一個系統(tǒng)中注銷時��,其他已登錄的系統(tǒng)也會被注銷�。
SSO單點登錄實現(xiàn)
SSO單點登錄系統(tǒng)���,涉及了用戶身份驗證��、令牌生成與驗證�����、全局會話管理��、訪問控制和單點注銷等方面���。
如下圖所示:
主要會包含如下組件:
1.CAS 服務(wù)器
CAS服務(wù)器是單點登錄系統(tǒng)的核心組件,負(fù)責(zé)用戶的身份驗證��、生成并管理令牌�、以及全局會話管理。
工作流程:
用戶登錄請求: 用戶嘗試訪問某個需要認(rèn)證的應(yīng)用���。
重定向至CAS登錄頁面: CAS客戶端檢測到用戶未登錄����,將用戶重定向至CAS服務(wù)器的登錄頁面�����。
用戶憑證驗證: 用戶在CAS登錄頁面輸入用戶名和密碼。
生成令牌(Ticket): CAS服務(wù)器驗證用戶憑證成功后���,生成一個包含用戶身份信息的令牌�。
返回令牌和TGT: CAS服務(wù)器將令牌返回給CAS客戶端�,同時可能生成一個TGT(Ticket Granting Ticket)用于全局會話管理。
2.CAS Client(CAS 客戶端)
CAS客戶端����,主要是處理用戶的登錄、和CAS服務(wù)器的通信�。
工作流程:
檢測用戶登錄狀態(tài): CAS客戶端檢測用戶是否已經(jīng)登錄。
重定向至CAS服務(wù)器: 如果未登錄����,CAS客戶端將用戶重定向至CAS服務(wù)器�����,包含Service標(biāo)識以及可能的登錄狀態(tài)(如重定向回調(diào)URL)�����。
CAS登錄驗證: 用戶在CAS登錄頁面輸入憑證�,CAS服務(wù)器驗證用戶身份。
獲取Service Ticket: CAS服務(wù)器生成ST��,并將其返回給CAS客戶端�����。
訪問受保護資源: CAS客戶端將ST與Service標(biāo)識一起發(fā)送至Service����,實現(xiàn)訪問控制�。
3.Service
表示用戶想要訪問的資源����,每個Service都有一個唯一的標(biāo)識符。
工作流程:
接收ST和Service標(biāo)識: Service接收CAS客戶端傳遞的ST和Service標(biāo)識���。
ST驗證: Service向CAS服務(wù)器驗證ST的有效性�����,確保ST未被使用且未過期�����。
用戶授權(quán): 驗證通過后,Service授予用戶訪問受保護資源的權(quán)限���。
4.單點注銷
單點注銷通知: 當(dāng)用戶在一個Service注銷時,Service通知CAS服務(wù)器�����。
全局注銷: CAS服務(wù)器通過TGT�,通知其他關(guān)聯(lián)的Service進行用戶注銷�。
以上就是SSO單點登錄的介紹���,希望對你掌握好SSO有所參考。
閱讀原文:原文鏈接
該文章在 2025/7/2 0:08:15 編輯過
400 186 1886
