一、單點登錄的概念

1、什么是單點登陸

單點登錄（Single Sign On），簡稱為 SSO，是目前比較流行的企業(yè)業(yè)務(wù)整合的解決方案之一。SSO的定義是在多個應(yīng)用系統(tǒng)中，用戶只需要登錄一次就可以訪問所有相互信任的應(yīng)用系統(tǒng)。

2、單點登錄的引入

較大的企業(yè)內(nèi)部，一般都有很多的業(yè)務(wù)支持系統(tǒng)為其提供相應(yīng)的管理和IT服 務(wù)。
例如：
財務(wù)系統(tǒng)為財務(wù)人員提供財務(wù)的管理、計算和報表服務(wù)；
人事系統(tǒng)為人事部門提供全公司人員的維護(hù)服務(wù)；
各種業(yè)務(wù)系統(tǒng)為公司內(nèi)部不同的業(yè)務(wù)提供不同的 服務(wù)等等。
這些系統(tǒng)的目的都是讓計算機(jī)來進(jìn)行復(fù)雜繁瑣的計算工作，來替代人力的手工勞動，提高工作效率和質(zhì)量。
這些不同的系統(tǒng)往往是在不同的時期建設(shè)起來 的，運行在不同的平臺上；也許是由不同廠商開發(fā)，使用了各種不同的技術(shù)和標(biāo)準(zhǔn)。

如果舉例說國內(nèi)一著名的IT公司（名字隱去），內(nèi)部共有60多個業(yè)務(wù)系統(tǒng)，這些系統(tǒng)包括兩個不同版本的SAP的ERP系統(tǒng)，12個不同類型和版本的數(shù)據(jù)庫系統(tǒng)，8個不同類型和版本的操作系統(tǒng)，以及使用了3種不同的防火墻技術(shù)，還有數(shù)十種互相不能兼容的協(xié)議和標(biāo)準(zhǔn)，這種情況其實非常普遍。每一個應(yīng)用系統(tǒng)在運行了數(shù)年以后，都會成為不可替換的企業(yè)IT架構(gòu)的一部分，如下圖所示。

隨 著企業(yè)的發(fā)展，業(yè)務(wù)系統(tǒng)的數(shù)量在不斷的增加，老的系統(tǒng)卻不能輕易的替換，這會帶來很多的開銷。其一是管理上的開銷，需要維護(hù)的系統(tǒng)越來越多。
很多系統(tǒng)的數(shù) 據(jù)是相互冗余和重復(fù)的，數(shù)據(jù)的不一致性會給管理工作帶來很大的壓力。
業(yè)務(wù)和業(yè)務(wù)之間的相關(guān)性也越來越大，例如公司的計費系統(tǒng)和財務(wù)系統(tǒng)，財務(wù)系統(tǒng)和人事系 統(tǒng)之間都不可避免的有著密切的關(guān)系。
為了降低管理的消耗，最大限度的重用已有投資的系統(tǒng)，很多企業(yè)都在進(jìn)行著企業(yè)應(yīng)用集成（EAI）。

企業(yè)應(yīng)用集成可以在不同層面上進(jìn)行：
例如：
在數(shù)據(jù)存儲層面上的“數(shù)據(jù)大集中”，
在傳輸層面上的“通用數(shù)據(jù)交換平臺”，
在應(yīng)用層面上的“業(yè)務(wù)流程整合”，
和用 戶界面上的“通用企業(yè)門戶”等等。
事實上，還用一個層面上的集成變得越來越重要，那就是“身份認(rèn)證”的整合，也就是“單點登錄”。
通常來說，每個單獨的系統(tǒng)都會有自己的安全體系和身份認(rèn)證系統(tǒng)。
整合以前，進(jìn)入每個系統(tǒng)都需要進(jìn)行登錄，這樣的局面不僅給管理上帶來了很大的困難，在安全方面也埋下了重大的隱患。下面是一些著名的調(diào)查公司顯示的統(tǒng)計數(shù)據(jù)：
用戶每天平均 16 分鐘花在身份驗證任務(wù)上 - 資料來源： IDS
頻繁的 IT 用戶平均有 21 個密碼 - 資料來源： NTA Monitor Password Survey
49% 的人寫下了其密碼，而 67% 的人很少改變它們
每 79 秒出現(xiàn)一起身份被竊事件 - 資料來源：National Small Business Travel Assoc
全球欺騙損失每年約 12B - 資料來源：Comm Fraud Control Assoc
到 2007 年，身份管理市場將成倍增長至 $4.5B - 資料來源：IDS

3、單點登錄帶來的好處

使用“單點登錄”整合后，只需要登錄一次就可以進(jìn)入多個系統(tǒng)，而不需要重新登錄，這不僅僅帶來了更好的用戶體驗，更重要的是降低了安全的風(fēng)險和管理的消耗。請看下面的統(tǒng)計數(shù)據(jù)：
提高 IT 效率：對于每 1000 個受管用戶，每用戶可節(jié)省$70K
幫助臺呼叫減少至少1/3，對于 10K 員工的公司，每年可以節(jié)省每用戶 $75，或者合計 $648K
生產(chǎn)力提高：每個新員工可節(jié)省 $1K，每個老員工可節(jié)省 $350 資料來源：Giga
ROI 回報：7.5 到 13 個月 資料來源：Gartner
另外，使用“單點登錄”還是SOA時代的需求之一。
在面向服務(wù)的架構(gòu)中，服務(wù)和服務(wù)之間，程序和程序之間的通訊大量存在，服務(wù)之間的安全認(rèn)證是SOA應(yīng)用的難點之一，應(yīng)此建立“單點登錄”的系統(tǒng)體系能夠大大簡化SOA的安全問題，提高服務(wù)之間的合作效率。

二、單點登錄的運行原理

1、一個簡單的運行機(jī)制

單點登錄的機(jī)制其實是比較簡單的，用一個現(xiàn)實中的例子做比較。
某公園內(nèi)部有許多獨立的景點，游客可以在各個景點門口單獨買票。
對于需要游玩所有的景點的游客，這種買票方式很不方便，需要在每個景點門口排隊買票，錢包拿 進(jìn)拿出的，容易丟失，很不安全。
于是絕大多數(shù)游客選擇在大門口買一張通票（也叫套票），就可以玩遍所有的景點而不需要重新再買票。
他們只需要在每個景點門 口出示一下剛才買的套票就能夠被允許進(jìn)入每個獨立的景點。

單點登錄的機(jī)制也一樣，如下圖所示

當(dāng)用戶第一次訪問應(yīng)用系統(tǒng)1的時候，因為還沒有登錄，會被引導(dǎo)到認(rèn)證系統(tǒng)中進(jìn)行登錄（1）；

根據(jù)用戶提供的登錄信息，認(rèn)證系統(tǒng)進(jìn)行身份效驗，如果通過效驗，應(yīng)該返回給用戶一個認(rèn)證的憑據(jù)－－ticket（2）；

用戶再訪問別的應(yīng)用的時候（3，5）就會將這個ticket帶上，作為自己認(rèn)證的憑據(jù)，應(yīng)用系統(tǒng)接受到請求之后會把ticket送到認(rèn)證系統(tǒng)進(jìn)行效驗，檢查ticket的合法性（4，6）。

如果通過效驗，用戶就可以在不用再次登錄的情況下訪問應(yīng)用系統(tǒng)2和應(yīng)用系統(tǒng)3了。

2、稍微復(fù)雜一點的運行機(jī)制

從上面的視圖可以看出，要實現(xiàn)SSO，需要以下主要的功能：

所有應(yīng)用系統(tǒng)共享一個身份認(rèn)證系統(tǒng)。統(tǒng)一的認(rèn)證系統(tǒng)是SSO的前提之一。認(rèn)證系統(tǒng)的主要功能是將用戶的登錄信息和用戶信息庫相比較，對用戶進(jìn)行登錄認(rèn)證；認(rèn)證成功后，認(rèn)證系統(tǒng)應(yīng)該生成統(tǒng)一的認(rèn)證標(biāo)志（ticket），返還給用戶。
另外，認(rèn)證系統(tǒng)還應(yīng)該對ticket進(jìn)行效驗，判斷其有效性。所有應(yīng)用系統(tǒng)能夠識別和提取ticket信息，要實現(xiàn)SSO的功能，讓用戶只登錄一次，就必須讓應(yīng)用系統(tǒng)能夠識別已經(jīng)登錄過的用戶。
應(yīng)用系統(tǒng)應(yīng)該能對ticket進(jìn)行識別和提取，通過與認(rèn)證系統(tǒng)的通訊，能自動判斷當(dāng)前用戶是否登錄過，從而完成單點登錄的功能。

上面的功能只是一個非常簡單的SSO架構(gòu)，在現(xiàn)實情況下的SSO有著更加復(fù)雜的結(jié)構(gòu)。有兩點需要指出的是：

單一的用戶信息數(shù)據(jù)庫并不是必須的，有許多系統(tǒng)不能將所有的用戶信息都集中存儲，應(yīng)該允許用戶信息放置在不同的存儲中。事實上，只要統(tǒng)一認(rèn)證系統(tǒng)，統(tǒng)一ticket的產(chǎn)生和校驗，無論用戶信息存儲在什么地方，都能實現(xiàn)單點登錄。

統(tǒng)一的認(rèn)證系統(tǒng)并不是說只有單個的認(rèn)證服務(wù)器，如下圖所示，整個系統(tǒng)可以存在兩個以上的認(rèn)證服務(wù)器，這些服務(wù)器甚至可以是不同的產(chǎn)品。認(rèn)證服務(wù)器之間要通過標(biāo)準(zhǔn)的通訊協(xié)議，互相交換認(rèn)證信息，就能完成更高級別的單點登錄。如下圖，當(dāng)用戶在訪問應(yīng)用系統(tǒng)1時，由第一個認(rèn)證服務(wù)器進(jìn)行認(rèn)證后，得到由此服務(wù)器產(chǎn)生的ticket。當(dāng)他訪問應(yīng)用系統(tǒng)4的時候，認(rèn)證服務(wù)器2能夠識別此ticket是由第一個服務(wù)器產(chǎn)生的，通過認(rèn)證服務(wù)器之間標(biāo)準(zhǔn)的通訊協(xié)議（例如SAML）來交換認(rèn)證信息，仍然能夠完成SSO的功能。

3、web-sso

隨著互聯(lián)網(wǎng)的高速發(fā)展，WEB應(yīng)用幾乎統(tǒng)治了絕大部分的軟件應(yīng)用系統(tǒng)，因此WEB-SSO是SSO應(yīng)用當(dāng)中最流行的。
WEB-SSO有其自身的特點和優(yōu)勢，實現(xiàn)起來比較簡單易用。很多商業(yè)軟件和開源軟件都有對WEB-SSO的實現(xiàn)。
其中值得一提的是OpenSSO （https://opensso.dev.java.net），為用Java實現(xiàn)WEB-SSO提供架構(gòu)指南和服務(wù)指南，為用戶自己來實現(xiàn)WEB-SSO提供了理論的依據(jù)和實現(xiàn)的方法。

為什么說WEB-SSO比較容易實現(xiàn)呢？這是有WEB應(yīng)用自身的特點決定的。
眾所周知，Web協(xié)議（也就是HTTP）是一個無狀態(tài)的協(xié)議。一個Web應(yīng)用由很多個Web頁面組成，每個頁面都有唯一的URL來定義。用戶在瀏覽器的地址欄輸入頁面的URL，瀏覽器就會向Web Server去發(fā)送請求。
如下圖，瀏覽器向Web服務(wù)器發(fā)送了兩個請求，申請了兩個頁面。這兩個頁面的請求是分別使用了兩個單獨的HTTP連接。所謂無狀態(tài)的協(xié)議也就是表現(xiàn)在這里，瀏覽器和Web服務(wù)器會在第一個請求完成以后關(guān)閉連接通道，在第二個請求的時候重新建立連接。Web服務(wù)器并不區(qū)分哪個請求來自哪個客戶端，對所有的請求都一視同仁，都是單獨的連接。
這樣的方式大大區(qū)別于傳統(tǒng)的（Client/Server）C/S結(jié)構(gòu),在那樣的應(yīng)用中，客戶端和服務(wù)器端會建立一個長時間的專用的連接通道。
正是因為有了無狀態(tài)的特性，每個連接資源能夠很快被其他客戶端所重用，一臺Web服務(wù)器才能夠同時服務(wù)于成千上萬的客戶端。

但是我們通常的應(yīng)用是有狀態(tài)的。先不提不同應(yīng)用之間的SSO，在同一個應(yīng)用中也需要保存用戶的登錄身份信息。
例如用戶在訪問頁面1的時候進(jìn)行了登錄，當(dāng)客戶再次訪問頁面2的時候，如何才能告訴Web服務(wù)器，客戶剛才已經(jīng)登錄過了呢？
瀏覽器和服務(wù)器之間有約定：通過使用cookie技術(shù)來維護(hù)應(yīng)用的狀態(tài)。Cookie是可以被Web服務(wù)器設(shè)置的字符串，并且可以保存在瀏覽器中。
如下圖所示，當(dāng)瀏覽器訪問了頁面1時，web服務(wù)器設(shè)置了一個cookie，并將這個cookie和頁面1一起返回給瀏覽器，瀏覽器接到cookie之后，就會保存起來，
在它訪問頁面2的時候會把這個cookie也帶上，Web服務(wù)器接到請求時也能讀出cookie的值，根據(jù)cookie值的內(nèi)容就可以判斷和恢復(fù)一些用戶的信息狀態(tài)。

Web-SSO完全可以利用Cookie來完成用戶登錄信息的保存，將瀏覽器中的Cookie和上文中的Ticket結(jié)合起來，完成SSO的功能。

為了完成一個簡單的SSO的功能，需要兩個部分的合作：
統(tǒng)一的身份認(rèn)證服務(wù)。
修改Web應(yīng)用，使得每個應(yīng)用都通過這個統(tǒng)一的認(rèn)證服務(wù)來進(jìn)行身份效驗。

ps

這篇是我在網(wǎng)上看到的，覺得寫得很好，轉(zhuǎn)過來存著，怕找不到，原文鏈接：https://www.cnblogs.com/lexiaofei/p/7172214.html

總結(jié)

以上是生活随笔為你收集整理的单点登录的原理的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。