首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >登录那些事(一):用简单的话来讲讲SSO单点登录

登录那些事(一):用简单的话来讲讲SSO单点登录

作者头像
Happyjava
发布2020-05-27 10:35:12
6490
发布2020-05-27 10:35:12
举报
文章被收录于专栏:Happy的分享Happy的分享

传统的登录模式

每一个系统都做一套登录功能,登录了A系统之后,如果想要使用B系统,那么需要再登录一次,即使两个系统的账号是一致的。

假设一个企业有A B两个系统,那么用户登录这两个系统需要两个cookie来保存两个系统的登录信息。

这样做的好处是开发方便,在单机的情况下直接使用session和cookie即可完成一个这样的登录设计。缺点就是用户使用不同的系统,需要多次登录,体验不够好。

改进版本——同域下的单点登录的设计

一般来说,同一个企业的系统所采用的一级域名是都是相同的,比如a.xxx.com,b.xxx.com。我们可以在登录的时候把cookie设置为一级域名级别,即xxx.com。这样子的话a.xxx.com和b.xxx.com两个系统都可以访问到同一个cookie信息,那么在后端实现了session共享的情况下,即可实现一个系统登录,可以让另外一个系统免登陆。

实现session共享可以参考之前的文章:SpringBoot+Redis实现session共享

当然这种方案并不好,因为往往很多系统一级域名都是不相同的,比如某宝和某猫。

改进方案——单点登录系统

同域下的单点登录可以简单利用Cookie和session来解决,但是很多时候系统之间是不同一级域名的。不同域之间Cookie是不共享的,怎么办?这里我们就要说一说CAS流程了,这个流程是单点登录的标准流程。

先来看一个CAS的流程图:

相信这个图看起来很费经,其实CAS流程并不复杂:

1、用户访问A系统,A系统需要登录,检测到用户没有进行登录,那么就重定向用户到CAS系统。

2、用户到了CAS系统之后,发现用户也没在CAS上的登录过,那么则跳转到登录界面。

3、用户登录CAS系统后,将登录状态写入CAS的session中,浏览器中写入CAS域下的cookie。

4、CAS系统登录完成后会给用户生成一个Service Ticket(ST),此时CAS系统会把用户重定向到系统A上,把ST发送给A系统。

5、A系统接收到ST之后,会去CAS服务上进行验证是否有效。

6、验证通过后把用户的登录状态写入A系统的session,并且在A的域下写入cookie。

经过上面的步骤,用户已经在A系统完成了登录。

如果此时用户继续访问系统B,那么流程如下:

1、用户访问B系统,没有登录,则跳转到CAS系统。

2、CAS系统检测到用户登录成功了,不需要用户再次登录,直接生成ST,把用户重定向回B系统,把ST发送给B系统。

3、B系统接收到ST之后,会去CAS服务上进行验证是否有效。

4、验证通过后把用户的登录状态写入B系统的session,并且在B的域下写入cookie。

此时已经完成了B系统的验证过程。

总结

单点登录(SSO)的流程基本就是这样,原理相信大家都能够理解。所谓的单点登录,就是让用户在一个地方(CAS)统一进行登录,然后各个业务系统接入CAS完成用户登录状态的管理。这里只是做个简单介绍,后续会写写demo来真正实现单点登录功能。

Happyjava原创

本文参与 腾讯云自媒体分享计划,分享自作者个人站点/博客。
原始发表:2020年05月20日,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 传统的登录模式
  • 改进版本——同域下的单点登录的设计
  • 改进方案——单点登录系统
  • 总结
相关产品与服务
访问管理
访问管理(Cloud Access Management,CAM)可以帮助您安全、便捷地管理对腾讯云服务和资源的访问。您可以使用CAM创建子用户、用户组和角色,并通过策略控制其访问范围。CAM支持用户和角色SSO能力,您可以根据具体管理场景针对性设置企业内用户和腾讯云的互通能力。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档