如何实现单点登录?

一、什么是单点登录

单点登录的英文名叫做:Single Sign On(简称SSO),指在同一帐号平台下的多个应用系统中,用户只需登录一次,即可访问所有相互信任的系统。简而言之,多个系统,统一登陆。

为什么需要做单点登录系统呢?在一些互联网公司中,公司旗下可能会有多个子系统,每个登陆实现统一管理,多个账户信息统一管理 SSO单点登陆认证授权系统。比如阿里系的淘宝和天猫,显而易见这是两个系统,但是在使用过程中,只要你登录了淘宝,同时也意味着登录了天猫,如果每个子系统都需要登录认证,用户早就疯了,所以我们要解决的问题就是,用户只需要登录一次就可以访问所有相互信任的应用系统。

二、单点登录原理

sso需要一个独立的认证中心,所有子系统都通过认证中心的登录入口进行登录,登录时带上自己的地址,子系统只接受认证中心的授权,授权通过令牌(token)实现,sso认证中心验证用户的用户名密码正确,创建全局会话和token,token作为参数发送给各个子系统,子系统拿到token,即得到了授权,可以借此创建局部会话,局部会话登录方式与单系统的登录方式相同。

如何实现单点登录?_第1张图片

三、单点登录实现方式

1、基于cookie(主域名相同)

如何实现单点登录?_第2张图片
如何实现单点登录?_第3张图片

2、SSO(主域名不同,cookie无法共享时)

如何实现单点登录?_第4张图片
如何实现单点登录?_第5张图片
下面对上图简要描述

1、用户访问系统1的受保护资源,系统1发现用户未登录,跳转至sso认证中心,并将自己的地址作为参数
2、sso认证中心发现用户未登录,将用户引导至登录页面
3、用户输入用户名密码提交登录申请
4、sso认证中心校验用户信息,创建用户与sso认证中心之间的会话,称为全局会话,同时创建授权令牌
5、sso认证中心带着令牌跳转会最初的请求地址(系统1)
6、系统1拿到令牌,去sso认证中心校验令牌是否有效
7、sso认证中心校验令牌,返回有效,注册系统1
8、系统1使用该令牌创建与用户的会话,称为局部会话,返回受保护资源
9、用户访问系统2的受保护资源
10、系统2发现用户未登录,跳转至sso认证中心,并将自己的地址作为参数
11、sso认证中心发现用户已登录,跳转回系统2的地址,并附上令牌
12、系统2拿到令牌,去sso认证中心校验令牌是否有效
13、sso认证中心校验令牌,返回有效,注册系统2
14、系统2使用该令牌创建与用户的局部会话,返回受保护资源

用户登录成功之后,会与sso认证中心及各个子系统建立会话,用户与sso认证中心建立的会话称为全局会话,用户与各个子系统建立的会话称为局部会话,局部会话建立之后,用户访问子系统受保护资源将不再通过sso认证中心,全局会话与局部会话有如下约束关系:

  • 局部会话存在,全局会话一定存在
  • 全局会话存在,局部会话不一定存在
  • 全局会话销毁,局部会话必须销毁

session ➕ cookie模式实现单点登录:
如何实现单点登录?_第6张图片
优点:服务器有超强控制能力,很容易控制用户在线状态
缺点:耗钱,一般小企业用户量一大烧不起啊

token模式: JWT
如何实现单点登录?_第7张图片
认证中心登录,返回token,子系统可以自行验证token
优点:认证中心压力减少,子系统扩容也影响不大
缺点:不容易控制用户状态

token ➕ refreshtoken模式:
如何实现单点登录?_第8张图片
如何实现单点登录?_第9张图片
优点: 子系统容易扩容,可以控制用户状态(因为会刷新token)

3、oAuth2.0

如何实现单点登录?_第10张图片

总结

如何实现单点登录?_第11张图片

你可能感兴趣的:(项目实战,前端,运维)