SSO(Single Sign On-单点登录)方案笔记
目录[*]SSO的定义
[*]SSO中的角色
[*]和OAuth协议的区别?
[*]多应用间的登录流程
SSO 其实是一套高度依赖中央授权服务器(IdP)的登录方案。
SSO的定义
SSO是一种身份验证机制,用户只需要使用一套凭据(比如用户名和密码)登录一次,就可以访问多个相互信任的应用程序或系统,而无需在每个应用中重新登录。
下文分析SSO如何达成这个目标。
SSO中的角色
graph TD U[用户] --> UA[用户代理/浏览器] UA --> SP1[服务提供者 A] UA --> SP2[服务提供者 B] UA --> SP3[服务提供者 C] SP1 --> IdP[身份提供者] SP2 --> IdP SP3 --> IdP IdP --> DS[目录服务] UA -.->|存储Cookie(全局通用)| IdP UA -.->|存储Cookie| SP1 UA -.->|存储Cookie| SP2 UA -.->|存储Cookie| SP3
[*]用户(User)
身份:需要访问应用程序的最终用户
职责:
- 提供身份凭证(用户名/密码等)
- 发起认证请求
- 管理个人会话
特点:用户只需记住一套凭证,与IdP进行一次交互
[*]服务提供者(Service Provider, SP)
身份:具体的应用程序或服务(如CRM系统、邮箱、内部网站等)
职责:
- 保护资源,要求认证后才能访问;
- 识别未认证的用户并将其重定向到IdP;
- 验证从IdP收到的认证断言/令牌;
- 管理本地应用会话;
特点:SP本身不验证用户密码,完全信任IdP的认证结果;
[*]在 SSO 架构中,所有应用(Service Providers, SPs)都放弃了自主验证用户身份的权限,转而无条件地信任 IdP 做出的认证决定。
[*]如何保障信任关系:每个 SP 都预先在 IdP 那里“注册”了自己,双方约定好了加密密钥、证书和通信协议。没有这个预先建立的信任,SSO 无法工作。
[*]身份提供者(Identity Provider, IdP)
IdP 是整个SSO系统中唯一知道用户是谁、密码是什么、用户是否已登录的组件。它是所有身份信息的“唯一真相来源”。
身份:中央认证服务器,SSO体系的核心
职责:
[*]存储和管理用户身份信息;
[*]验证用户提交的凭证;
[*]创建和管理全局会话;
[*]生成安全的认证令牌/断言;
[*]响应SP的认证验证请求;
特点:所有SP都信任IdP,IdP是"唯一真相来源"
[*]用户代理(User Agent)
身份:通常是Web浏览器,也可以是移动App等客户端
职责:
[*]在用户、SP和IdP之间传递请求和响应;
[*]存储和管理Cookie(IdP的全局会话Cookie和各SP的本地会话Cookie);
[*]处理HTTP重定向;
特点:是实现SSO流程的一个工具载体。
[*]目录服务(Directory Service)- 该角色可选
身份:用户信息的存储后端(可选但常见)
职责:
[*]存储用户身份数据(如Active Directory、LDAP、数据库)
[*]为IdP提供用户凭证验证服务
特点:在实际企业部署中,IdP通常与目录服务集成
和OAuth协议的区别?
SSO和OAuth经常被一起提及,也常常被混淆,但它们解决的是两个完全不同的问题,只能说稍微有点相关性,但还是需要认真辨别出区别。
简单来说:
[*]SSO(单点登录):是一个身份验证方案。
它解决的是“你是谁?”的问题,让你用一套密码可以登录多个系统。
[*]OAuth 2.0:是一个授权方案。
它解决的是“这个应用能否访问我的特定数据?”的问题,让你在不分享密码的情况下,授权第三方应用访问你的资源。
多应用间的登录流程
sequenceDiagram participant U as 用户浏览器 participant A as 应用A (SP) participant I as 认证中心 (IdP) participant B as 应用B (SP) Note over U, B: 第一阶段:用户首次访问应用A U->>A: 1. 访问应用A A->>U: 2. 发现未登录,重定向到IdP
(携带回调地址) U->>I: 3. 访问IdP登录页 Note right of U: 此时浏览器与IdP建立会话 I->>U: 4. 返回登录页面 U->>I: 5. 提交用户名/密码 I->>I: 6. 验证凭证,创建全局会话 I->>U: 7. 重定向回应用A
(携带令牌/Ticket) U->>A: 8. 带着令牌访问应用A A->>I: 9. 应用A与IdP后台通信,验证令牌 I->>A: 10. 返回用户信息(验证成功) A->>U: 11. 创建本地会话,返回受保护资源 Note over U, B: 第二阶段:用户访问应用B U->>B: 12. 访问应用B B->>U: 13. 发现未登录,重定向到IdP
(携带回调地址) U->>I: 14. 访问IdP(浏览器自动携带IdP会话Cookie) Note right of U: 关键步骤:
浏览器与IdP的会话仍然有效 I->>I: 15. 发现已有全局会话(用户已登录) I->>U: 16. 立即重定向回应用B
(携带新的令牌/Ticket) U->>B: 17. 带着新令牌访问应用B B->>I: 18. 应用B与IdP后台通信,验证新令牌 I->>B: 19. 返回用户信息(验证成功) B->>U: 20. 创建本地会话,返回受保护资源完整的“创建全局会话”包含两个相互关联的动作:
[*]服务器端(IdP侧): 在IdP的服务器上(例如在内存、Redis或数据库中)创建一个会话记录。
[*]客户端(浏览器侧): 在用户的浏览器中,设置一个属于IdP域名的Cookie,其值通常就是这个服务器端会话记录的ID。
来源:程序园用户自行投稿发布,如果侵权,请联系站长删除
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! 谢谢楼主提供! 新版吗?好像是停更了吧。
页:
[1]