腾讯会议SSO登录介绍与问题解答

引言

单点登录是支持用户使用统一帐号访问企业内多个系统的安全通信技术。 腾讯会议企业版为了方便用户登录，提供了sso登录供用户免费申请。腾讯会议使用sso单点登录的好处是：

1.企业IT可以使用企业已有帐号为体系，帮助员工使用同一帐号密码接入腾讯会议等企业内多个业务系统，无需额外记住帐号密码，方便快捷。

2.对企业而言，员工通过企业内统一帐号使用腾讯会议，无需额外管理一套员工帐号，也确保了参会人员的实名身份，信息可控，更加安全。

下面就介绍一下腾讯会议的sso登录流程与问题解答。

基础知识准备

1 会话机制

HTTP协议是基于TCP/IP协议模型来传输信息的，在传输数据之前会有TCP三次握手建立连接，成功后浏览器第一次请求服务器，服务器创建一个会话，并将会话的id作为响应的一部分发送给浏览器，浏览器存储会话id，并在后续第二次和后面的请求中带上会话id，服务器取得请求中的会话id就能确认用户。

http请求与响应步骤

浏览器保存id的方式有两种，一是请求参数，二是cookie。将会话id作为每一个请求的参数，服务器接收请求解析参数获得会话id，并借此判断是否来自同一会话，这种方式可以但是麻烦，每次都要把id放入请求参数。cookie是浏览器用来存储少量数据的一种机制，数据以”key/value“形式存储，浏览器发送http请求时自动附带cookie信息。cookie机制正好可以用来实现每次发送http请求时浏览器自动发送会话id。cookie是有限制的，这个限制就是cookie的域（通常对应网站的域名），浏览器发送http请求时会自动携带与该域匹配的cookie，而不是所有cookie。

2 单点登录

单点登录全称Single Sign On（以下简称SSO），是指在多系统应用群中登录一个系统，便可在其他所有系统中得到授权而无需再次登录.

sso有一个独立的认证中心，只有认证中心能接受用户的用户名密码等安全信息，其他系统不提供登录入口，只接受认证中心的间接授权。间接授权通过令牌实现，sso认证中心验证用户的用户名密码没问题，创建授权令牌，在接下来的跳转过程中，授权令牌作为参数发送给各个子系统，子系统拿到令牌，即得到了授权，可以借此创建局部会话。

SSO的实现有很多框架，比如CAS框架，以下是CAS框架的官方流程图

上面的流程大概为：

• 用户登录业务系统Protected App，未登录，
• 将用户重定向到单点登录系统CAS Server，并带上自身地址service参数
• CAS Server发现用户没有登录，跳转到登陆界面
• 用户填写密码后提交登录，登录成功
• SSO系统验证密码是否正确，若正确则重定向到业务系统，并带上SSO系统签发的ticket
• 业务系统拿着ticket请求SSO系统，获取用户信息，并设置局部session。
• sso系统发现用户登录成功返回给浏览器sessionId
• 用户用sessionId与业务系统交互

用户登录成功之后，会与sso认证中心及各个子系统建立会话，用户与sso认证中心建立的会话称为全局会话，用户与各个子系统建立的会话称为局部会话，局部会话建立之后，用户访问子系统受保护资源将不再通过sso认证中心

腾讯会议sso登录步骤

1. 腾讯会议企业版sso登录流程

腾讯会议企业版的sso与用户的企业自己的认证系统打通，使用企业已有帐号为体系，帮助员工使用同一帐号密码接入腾讯会议。详细的步骤如下

2. 腾讯会议客户端/APPsso登录实操

腾讯会议企业版可以免费申请sso登录，申请后，会有企业邮箱和企业域名，在APP内，员工可以使用企业邮箱和企业域名登录

企业邮箱登录

截屏2020-11-20 14.49.20

企业域名登录

输入过后，会跳转到认证页面，员工输入公司内部的账号密码后，就可以登录成功了

问题解答

1. 有客户来咨询，员工直接用邮箱就可以登录了，那别人用员工的邮箱是不是也可以登录，这样会不会不安全。

答：首次邮箱登录之后会跳转到AD认证源登录界面，是需要输入账号和密码的，并不是只输入邮箱就可以登录。

1. 我之前用A企业邮箱登录过，退出之后用B企业邮箱登录，结果登上去依然是A的账号。

答：从前面的介绍可以了解到认证的code或者key啊都是保存在cookie里，然后自动放在http的请求里的，这种情况极大可能是你的浏览器cookie保存的还是A邮箱的认证key，可以尝试清除浏览器的cookie来解决，以Google浏览器为例。

在浏览器的“设置”-“隐私设置和安全性“里

“Cookie 及其他网站数据-查看所有 Cookie 和网站数据“选项下，可以查看你已经浏览过的网站的cookie信息

截屏2020-11-20 15.12.03

点进去还可以看到具体的cookie值。你可以在这里点删除，或者在上面那张图里选择清除浏览数据来删除，然后再登录，应该就可以登录了。

附录

1. https://www.cnblogs.com/ywlaker/p/6113927.html 单点登录原理与简单实现
2. ****https://cloud.tencent.com/document/product/1095 腾讯会议文档
3. https://zebinh.github.io/2020/03/SSOANDOAuth/ 对SSO单点登录和OAuth2.0的区别和理解