单点登录(SSO)系统的总结

  1. 云栖社区>
  2. 博客>
  3. 正文

单点登录(SSO)系统的总结

章为忠 2014-10-26 23:42:00 浏览709
展开阅读全文

  前些天一位其他开发部门的同事找到我们了解一些关于SSO单点登录的事,他们要做单点登录,同时也需要和我们这边的系统做集成,要我帮忙做一单点登录,了解关于单点登录的解决方案和资料,虽然做单点登录已经很久了,自以为对SSO系统也算比较了解。但是被他这么一问,反倒是一下讲不清楚,所以总结一下目前正在使用的SSO 解决方案的实现原理,也算是真正的再一次学习SSO 吧。

 

  首先,单点登陆(SSO) 是为了一次登陆,就能在其他各子系统获得访问权限,无需用户再输入用户名和密码,所以一般会使用集中验证方式,多个站点集中SSO验证。如下图所示:

 

  所以,通过上图,可以看出,当访问主站是,会请求SSO 进行身份验证,SSO系统验证成功后,会给主站返回一个令牌,这样在主站(OA)访问其他子系统的时候,带上令牌,这样就实现了单点登录,无需再验证用户名和密码。

 

  下面说说SSO 系统单点登录的验证过程:

 

  当用户访问应用系统是,会验证session 是否存在,如果session存在,则直接进入系统,如果session 不存在,说明用户未登陆该系统,然后验证用户的主系统是否登陆,是否有令牌,如果有令牌则验证令牌是否有效,如果令牌合法,那么进入该应用系统,反之则需要重新登陆,生成令牌。

 

  注:这里的令牌,是通过加密的cookie传输的,由SSO系统颁发可在各分站中流通的标识。

  令牌是由SSO系统颁发,系统接收到令牌之后,生成会话(Session)。 令牌通过Cookies的方式在各跨域分站中进行流通,所以SSO生成的令牌放在Cookie中返回给各个系统,并指定Cookie.Domain="oa.com"。

  由于令牌是通过cookie 流通,所以各业务子系统都需要在oa.com这个域下,否者会接收不到SSO产生的令牌。其次是需要增加一个SysAdapter.aspx 中间页,用于令牌的获取和验证。

 

 


作者:章为忠 
出处:http://www.fpeach.com/ 
本文版权归作者所有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接。如有问题,可以微信:18618243664 联系我,非常感谢。 

扫下面的二维码关注我的微信公众号。 
1441424468-53.gif

网友评论

登录后评论
0/500
评论
章为忠
+ 关注