本篇和大家分享�、探討SSO(單點登錄),內(nèi)容涉及SSO的定義�����、表現(xiàn)��、原理�����、實現(xiàn)細節(jié)等方面的闡述@mikechen
一���、單點登錄介紹
單點登錄(Single Sign On)�,簡稱為 SSO,是目前比較流行的企業(yè)業(yè)務(wù)整合的解決方案之一�����。
單點登錄SSO(Single Sign On)說得簡單點就是在一個多系統(tǒng)共存的環(huán)境下����,用戶在一處登錄后,就不用在其他系統(tǒng)中登錄��,也就是用戶的一次登錄能得到其他所有系統(tǒng)的信任��。
二���、為什么需要單點登錄
單點登錄在大型網(wǎng)站里使用得非常頻繁�,例如�����,阿里旗下有淘寶�、天貓、支付寶等網(wǎng)站���,還有背后的成百上千的子系統(tǒng)�,用戶一次操作或交易可能涉及到幾十個子系統(tǒng)的協(xié)作�,如果每個子系統(tǒng)都需要用戶認證,不僅用戶會瘋掉�,各子系統(tǒng)也會為這種重復認證授權(quán)的邏輯搞瘋掉。
所以��,單點登錄要解決的就是���,用戶只需要登錄一次就可以訪問所有相互信任的應(yīng)用系統(tǒng)��。
三�、單點登錄的來源
1.早期的單機部署:web單系統(tǒng)應(yīng)用
早期我們開發(fā)web應(yīng)用都是所有的包放在一起打成一個war包放入tomcat容器來運行的,所有的功能,所有的業(yè)務(wù),后臺管理,門戶界面,都是由這一個war來支持的,這樣的單應(yīng)用,也稱之為巨石應(yīng)用,因為十分不好擴展和拆分����。
在巨石應(yīng)用下,用戶的登錄以及權(quán)限就顯得十分簡單,用戶登錄成功后,把相關(guān)信息放入會話中,HTTP維護這個會話,再每次用戶請求服務(wù)器的時候來驗證這個會話即可,大致可以用下圖來表示:
驗證登錄的這個會話就是session,維護了用戶狀態(tài),也就是所謂的HTTP有狀態(tài)協(xié)議,我們經(jīng)常可以在瀏覽器中看到JSESSIONID,這個就是用來維持這個關(guān)系的key�。
2.分布式集群部署
由于網(wǎng)站的訪問量越來也大,單機部署已經(jīng)是巨大瓶頸��,所以才有了后來的分布式集群部署����。例如:如果引入集群的概念,1單應(yīng)用可能重新部署在3臺tomcat以上服務(wù)器,使用nginx來實現(xiàn)反向代理, 此時,這個session就無法在這3臺tomcat上共享,用戶信息會丟失����,所以不得不考慮多服務(wù)器之間的session同步問題����,這就是單點登錄的來源。
四���、單點登錄的原理和實現(xiàn)
單點登錄的實現(xiàn)方案�,一般就包含以下三種:
Cookies
Session同步
分布式Session方式
目前的大型網(wǎng)站都是采用分布式Session的方式�����。我先從cookie的實現(xiàn)談起��,你就能很清楚的知道為什么需要分布式session方式實現(xiàn)單點登錄��。
基于Cookie的單點登錄
最簡單的單點登錄實現(xiàn)方式�,是使用cookie作為媒介,存放用戶憑證���。用戶登錄父應(yīng)用之后����,應(yīng)用返回一個加密的cookie,當用戶訪問子應(yīng)用的時候���,攜帶上這個cookie,授權(quán)應(yīng)用解密cookie并進行校驗�����,校驗通過則登錄當前用戶���。
不難發(fā)現(xiàn)以上方式把信任存儲在客戶端的Cookie中�����,這種方式很容易令人質(zhì)疑:
Cookie不安全
不能跨域?qū)崿F(xiàn)免登
對于第一個問題�����,通過加密Cookie可以保證安全性����,當然這是在源代碼不泄露的前提下�����。如果Cookie的加密算法泄露,攻擊者通過偽造Cookie則可以偽造特定用戶身份���,這是很危險的���。
對于第二個問題,不能跨域?qū)崿F(xiàn)免登更是硬傷�。所以,才有了以下的分布式session方案�����。
五��、分布式session方式實現(xiàn)單點登錄
例如��,阿里有很多系統(tǒng)分割為多個子系統(tǒng)�����,獨立部署后��,不可避免的會遇到會話管理的問題��,類似這樣的電商網(wǎng)站一般采用分布式Session實現(xiàn)�����。
再進一步可以根據(jù)分布式Session,建立完善的單點登錄或賬戶管理系統(tǒng)���。
流程運行:
用戶第一次登錄時�,將會話信息(用戶Id和用戶信息)�,比如以用戶Id為Key�����,寫入分布式Session���;
用戶再次登錄時�����,獲取分布式Session����,是否有會話信息���,如果沒有則調(diào)到登錄頁��;
一般采用Cache中間件實現(xiàn)����,建議使用Redis,因此它有持久化功能��,方便分布式Session宕機后��,可以從持久化存儲中加載會話信息�����;
存入會話時����,可以設(shè)置會話保持的時間,比如15分鐘�,超過后自動超時;
結(jié)合Cache中間件����,實現(xiàn)的分布式Session,可以很好的模擬Session會話��。
六、總結(jié)
以上分別從單點登錄的原理����、來源、實現(xiàn)機制來完整的解讀單點登錄���。實現(xiàn)單點登錄說到底就是要解決如何產(chǎn)生和存儲那個信任�����,再就是其他系統(tǒng)如何驗證這個信任的有效性��,因此要點也就以下兩個:
存儲信任建議可以采用分布式文件存儲redis來實現(xiàn)。
閱讀原文:原文鏈接
該文章在 2025/7/2 0:01:38 編輯過
400 186 1886
