关键词:SSO Single Sign On 单点登录
Single sign-on (SSO) is a property of access control of multiple related, yet independent, software systems. With this property, a user logs in with a single ID and password to gain access to a connected system or systems without using different usernames or passwords, or in some configurations seamlessly sign on at each system.
首先我们来看一下wikipedia对SSO的定义,大概意思如下:
SSO单点登录是一种多个相关但独立的软件系统的访问控制属性。使用这种属性,用户使用一个ID和passsord登录,就可以获得连接系统或者无需不同用户名密码的系统的访问权限,或者在配置上和每一个系统无缝连接。
说到这里,我们知道,SSO就是为了多系统连接而产生的结果,使得用户体验更高,有点类似现阶段所提倡的生态系统(eco system),将多个关联的系统连接到一起。下面我们分几种情况来解释SSO:
一、共同父域parent domain的不同site之间的SSO
现场画出了一个SSO请求原理图
- 用户打开浏览器browser,也就是client端,访问站点Site A:
a.baidu.com,收到打开还未有登录信息,直接转向登录页面 - 输入username/password,登录并向
Auth Service发送认证并将登录信息记录下来 -
Auth Service记录登录信息之后,将带有已登录信息的cookie信息响应给client端并写入站点为.baidu.com的cookie里边,例如:auth_id=asldfj2930404u02 - 这个时候当client端需要访问需要username/password的站点Site B:
b.baidu.com,这个时候由于Site A和Site B同属于域.baidu.com,所以两个站点之前是共享父域.baidu.com的cookie,所以这个时候向Site B发送请求的同时,根据我们之前文章里边《关于cookie的一些理解和思考》讲到的,Cookie会跟随此次request请求发送到Site B服务器端 - 到达Site B服务器端之后,会将接收到的cookie当做ticket向
Auth Service发送授权请求,验证是否已经登录过,防止cookie伪造 -
Auth Service会实现相应的逻辑根据收到的ticket去查找对应用户是否已经登录,如果登录,则返回200或username表示验证通过,无需登录,可以直接访问;否则跳转到登录页面
提示:
a. 如上图右上角为Browser(客户端),右下角为我们的目标站点
b. 左上角为我们的portal server,也就是我们面向客户需要登录的站点,左下角是我们的授权服务,我们称它为SSO service,实际上我们可以把左边两个模块合并在一起,但是为了解耦,这里建议将各个角色分开,有利于后续做跨域SSO
二、相同域domain下的SSO
和第一种不同的是,第二种的站点属于同一个域,比如www.baidu.com/a和www.baidu.com/b 这个时候我们也可以使用上图的工作原理,只不过左上角和右下角两个站点属于同一个application
另一个不同点是,当Auth Service 响应给站点a的同时写入的cookie就没有必要写到.baidu.com下面了,只需要写到www.baidu.com下面即可,这样不管你访问www.baidu.com/a还是www.baidu.com/b都可以访问登录信息cookie
这一节讲到这里,下一次分享将会细讲完全跨域的SSO实现方式。
** 文章所有步骤都是经过实践检验并可行,若有问题,下方请评论。
——END——
作者 : Eason,专注各种技术、平台、集成,不满现状,喜欢改改改
文章、技术合作
Email : eason.lau02@hotmail.com
