Single-Sign-On核心原理解析

关键词:SSO Single Sign On 单点登录

Single sign-on (SSO) is a property of access control of multiple related, yet independent, software systems. With this property, a user logs in with a single ID and password to gain access to a connected system or systems without using different usernames or passwords, or in some configurations seamlessly sign on at each system.

首先我们来看一下wikipedia对SSO的定义,大概意思如下:

SSO单点登录是一种多个相关但独立的软件系统的访问控制属性。使用这种属性,用户使用一个ID和passsord登录,就可以获得连接系统或者无需不同用户名密码的系统的访问权限,或者在配置上和每一个系统无缝连接。

说到这里,我们知道,SSO就是为了多系统连接而产生的结果,使得用户体验更高,有点类似现阶段所提倡的生态系统(eco system),将多个关联的系统连接到一起。下面我们分几种情况来解释SSO:

一、共同父域parent domain的不同site之间的SSO

IMG_0287.JPG

现场画出了一个SSO请求原理图

  1. 用户打开浏览器browser,也就是client端,访问站点Site A:a.baidu.com,收到打开还未有登录信息,直接转向登录页面
  2. 输入username/password,登录并向Auth Service 发送认证并将登录信息记录下来
  3. Auth Service记录登录信息之后,将带有已登录信息的cookie信息响应给client端并写入站点为.baidu.com的cookie里边,例如:auth_id=asldfj2930404u02
  4. 这个时候当client端需要访问需要username/password的站点Site B:b.baidu.com,这个时候由于Site A和Site B同属于域.baidu.com,所以两个站点之前是共享父域.baidu.com的cookie,所以这个时候向Site B发送请求的同时,根据我们之前文章里边《关于cookie的一些理解和思考》讲到的,Cookie会跟随此次request请求发送到Site B服务器端
  5. 到达Site B服务器端之后,会将接收到的cookie当做ticket向Auth Service发送授权请求,验证是否已经登录过,防止cookie伪造
  6. Auth Service 会实现相应的逻辑根据收到的ticket去查找对应用户是否已经登录,如果登录,则返回200或username表示验证通过,无需登录,可以直接访问;否则跳转到登录页面

提示:
a. 如上图右上角为Browser(客户端),右下角为我们的目标站点
b. 左上角为我们的portal server,也就是我们面向客户需要登录的站点,左下角是我们的授权服务,我们称它为SSO service,实际上我们可以把左边两个模块合并在一起,但是为了解耦,这里建议将各个角色分开,有利于后续做跨域SSO

二、相同域domain下的SSO

和第一种不同的是,第二种的站点属于同一个域,比如www.baidu.com/awww.baidu.com/b 这个时候我们也可以使用上图的工作原理,只不过左上角和右下角两个站点属于同一个application
另一个不同点是,当Auth Service 响应给站点a的同时写入的cookie就没有必要写到.baidu.com下面了,只需要写到www.baidu.com下面即可,这样不管你访问www.baidu.com/a还是www.baidu.com/b都可以访问登录信息cookie

这一节讲到这里,下一次分享将会细讲完全跨域的SSO实现方式。

** 文章所有步骤都是经过实践检验并可行,若有问题,下方请评论。

——END——
作者 : Eason,专注各种技术、平台、集成,不满现状,喜欢改改改
文章、技术合作
Email : [email protected]

你可能感兴趣的:(Single-Sign-On核心原理解析)