单点登录建设方案 第1篇
单点登录涉及sso认证中心与众子系统,子系统与sso认证中心需要通信以交换令牌、校验令牌及发起注销请求,因而子系统必须集成sso的客户端,sso认证中心则是sso服务端,整个单点登录过程实质是sso客户端与服务端通信的过程,用下图描述
sso认证中心与sso客户端通信方式有多种,这里以简单好用的httpClient为例,web service、rpc、restful api都可以
单点登录建设方案 第2篇
单点登录(Single Sign-On,简称SSO)是一种身份认证的解决方案,它允许用户只需一次登录即可访问多个应用程序或系统。在一个典型的SSO系统中,用户只需通过一次身份认证,就可以获得访问多个应用程序的授权,而不需要在每个应用程序中单独进行身份验证。
单点登录(Single Sign-On,简称SSO)的实现原理通常涉及到以下几个步骤:
用户登录认证:用户在访问第一个应用程序时,需要进行身份验证并登录系统。这个过程可以使用任何一种常规的认证方式,比如用户名和密码、二次验证等等。
生成令牌:认证通过后,系统会生成一个安全令牌(Token),将它存储在用户的浏览器中,同时将该令牌的信息存储在SSO服务器中。
传递令牌:当用户访问其他应用程序时,应用程序将向SSO服务器发送令牌验证请求。SSO服务器会检查浏览器中的令牌信息,并确认用户的身份。
验证身份:如果令牌有效且用户已经进行过身份验证,SSO服务器会向应用程序返回一个授权令牌,授权用户访问该应用程序。
访问应用程序:应用程序会使用授权令牌来验证用户的身份,并允许用户访问应用程序的资源。
需要注意的是,SSO服务器需要能够识别和验证来自不同应用程序的令牌。为了实现这一点,通常使用标准的认证协议,如OAuth、OpenID Connect等,这些协议为应用程序提供了一种标准的方式来与SSO服务器交互。此外,SSO服务器还需要实现一些安全机制来防止令牌被盗用或伪造,如Token加密、过期时间等等。
单点登录的实现方式通常有以下几种:
基于JWT实现同域下的单点登录
基于Cookie的SSO
基于Token的SSO
基于SAML的SSO
基于OpenID Connect的SSO
CAS(Central Authentication Service)
需要注意的是,不同的SSO实现方式有不同的优缺点,选择适合自己应用场景的实现方式非常重要。
此外,SSO系统的实现需要考虑安全性和可靠性问题,如令牌加密、过期时间、安全断言的验证等等。
今天详细讲解一下:
单点登录建设方案 第3篇
只是简要介绍下基于java的实现过程,不提供完整源码,明白了原理,我相信你们可以自己实现。sso采用客户端/服务端架构,我们先看sso-client与sso-server要实现的功能(下面:sso认证中心=sso-server)
sso-client
sso-server
接下来,我们按照原理来一步步实现sso吧!
java拦截请求的方式有servlet、filter、listener三种方式,我们采用filter。在sso-client中新建类并实现Filter接口,在doFilter方法中加入对未登录用户的拦截
拦截从sso-client跳转至sso认证中心的未登录请求,跳转至登录页面,这个过程与sso-client完全一样
用户在登录页面输入用户名密码,请求登录,sso认证中心校验用户信息,校验成功,将会话状态标记为“已登录”
授权令牌是一串随机字符,以什么样的方式生成都没有关系,只要不重复、不易伪造即可,下面是一个例子
sso认证中心登录后,跳转回子系统并附上令牌,子系统(sso-client)取得令牌,然后去sso认证中心校验,在的doFilter中添加几行
verify方法使用httpClient实现,这里仅简略介绍,httpClient详细使用方法请参考官方文档
用户在sso认证中心登录成功后,sso-server创建授权令牌并存储该令牌,所以,sso-server对令牌的校验就是去查找这个令牌是否存在以及是否过期,令牌校验成功后sso-server将发送校验请求的系统注册到sso认证中心(就是存储起来的意思)
令牌与注册系统地址通常存储在key-value数据库(如Redis)中,redis可以为key设置有效时间也就是令牌的有效期。redis运行在内存中,速度非常快,正好sso-server不需要持久化任何数据。
令牌与注册系统地址可以用下图描述的结构存储在redis中,可能你会问,为什么要存储这些系统的地址?如果不存储,注销的时候就麻烦了,用户向sso认证中心提交注销请求,sso认证中心注销全局会话,但不知道哪些系统用此全局会话建立了自己的局部会话,也不知道要向哪些子系统发送注销请求注销局部会话
令牌校验成功后,sso-client将当前局部会话标记为“已登录”,修改,添加几行
sso-client还需将当前会话id与令牌绑定,表示这个会话的登录状态与令牌相关,此关系可以用java的hashmap保存,保存的数据用来处理sso认证中心发来的注销请求
用户向子系统发送带有“logout”参数的请求(注销请求),sso-client拦截器拦截该请求,向sso认证中心发起注销请求
sso认证中心也用同样的方式识别出sso-client的请求是注销请求(带有“logout”参数),sso认证中心注销全局会话
sso认证中心有一个全局会话的监听器,一旦全局会话注销,将通知所有注册系统注销
单点登录建设方案 第4篇
同域单点登录(SSO)是一种允许用户在一个网站登录后,在访问其他同域网站时无需再次登录的技术。下面介绍一种基于基于JWT的单点登录的Token同域单点登录实现方案
JSON Web Token(JWT)是一种轻量级的、基于标准JSON格式的身份验证和授权机制。
在SSO方案中,可以使用JWT作为Token,在JWT中存储用户信息和过期时间等信息。
JWT的签名和加密机制可以保证Token的安全性,防止Token被篡改和伪造。在每次访问其他同域网站时,前端将JWT发送给后端进行验证和解析,以获取用户信息和过期时间等信息。
下面是基于JWT实现同域下的单点登录的详细步骤:
用户登录应用程序A,应用程序A将用户的身份信息打包成JWT,并设置有效期和其他必要的信息。JWT的生成可以使用各种JWT库,如jsonwebtoken。
应用程序A将JWT存储在cookie或localStorage中,并将其发送给浏览器。
用户访问应用程序B,应用程序B将检查cookie或localStorage中是否存在有效的JWT。
如果JWT存在且未过期,则应用程序B使用JWT库对JWT进行解码和验证,并从中获取用户的身份信息。
如果JWT验证成功,则应用程序B授权用户访问应用程序B。
如果JWT不存在或已过期,则应用程序B要求用户登录。
在用户注销或会话过期时,应用程序A和B都需要清除JWT。
需要注意以下几点:
总之,基于JWT实现同域下的单点登录可以提高用户体验和应用程序的安全性,但需要注意确保JWT的安全性和可靠性。
不能直接放项目代码,所以放了示例,具体的规则,根据你的项目去设置,这个只是个示例。
当使用Java实现JWT时,可以使用Java JWT库(Java JWT Library)来生成和验证JWT。
下面是一个使用Java JWT库创建和验证JWT的示例代码:
在上述示例代码中,createJwt方法用于生成JWT,包括设置sub(subject)、iat(issued at)和exp(expiration time)声明,并使用HS256算法和密钥对JWT进行签名。verifyJwt方法用于验证JWT,并从中提取sub声明。
以下是使用示例:
在上述示例中,createJwt方法生成JWT,并将其打印到控制台。verifyJwt方法验证JWT,并将其中的sub声明提取出来打印到控制台。
需要注意的是,在实际应用中,应该将密钥和有效期等敏感信息存储在安全的地方,如配置文件或环境变量中,并使用安全加密方式进行存储和传输。
将Cookie的域设置为顶域实现方式
1 前端
将Cookie的域设置为顶域(即一级域名),需要在设置Cookie时将domain属性设置为顶域名,例如,如果当_站的域名为,那么可以将domain属性设置为_._,表示该Cookie在该域名及其所有子域名下都有效。
在使用的Express框架时,可以通过设置()方法的domain选项来设置Cookie的域,例如:
在上面的例子中,domain选项被设置为_._,表示该Cookie在及其所有子域名下都有效。
2 后端
在Java中,可以通过设置Cookie的domain属性来将Cookie的域设置为顶域(即一级域名)。
假设当_站的域名为,如果要将Cookie的域设置为该域名及其所有子域名下都有效,可以通过以下方式设置:
在上面的代码中,使用Cookie类创建了一个名为_mycookie_,值为_myvalue_的Cookie,并通过setDomain()方法将其域设置为_._。
然后,将Cookie添加到HTTP响应中,即可将该Cookie发送给客户端。
CAS是一个开源的单点登录协议,它使用Ticket Granting Ticket(TGT)和Service Ticket(ST)来实现单点登录。用户登录后,CAS服务器会生成一个TGT,并将其存储在用户的浏览器中。当用户访问其他应用程序时,应用程序会向CAS服务器发送一个ST验证请求。CAS服务器会检查TGT和ST,并确认用户的身份后,向应用程序发回授权信息。
下面是使用CAS实现单点登录的详细步骤:
首先需要在服务器上部署CAS服务器,并配置其参数,如登录页面、认证方式、客户端等。可以使用Maven或手动下载CAS Server WAR包,然后将其部署到Web容器中,如Tomcat或Jetty。在部署之前,需要先配置CAS服务器的参数,如CAS服务名称、CAS服务地址、登录页面、认证方式等。在完成配置后,启动Web容器,并访问CAS登录页面,以确保CAS服务器能够正常工作。
对于需要实现单点登录的应用程序,需要将其配置为CAS客户端,并在其上实现CAS协议。可以使用CAS客户端库,如Jasig CAS Client、Spring Security CAS等,也可以手动实现CAS协议。在CAS客户端中,需要指定CAS服务器的地址和协议,并设置CAS客户端的参数,如服务名称、退出URL等。为了实现单点登录,所有需要实现单点登录的应用程序都需要配置为CAS客户端。
当用户访问CAS客户端时,CAS客户端会将用户重定向到CAS服务器的登录页面,要求用户输入用户名和密码进行身份验证。用户输入用户名和密码后,CAS服务器根据配置的认证方式进行身份验证。如果身份验证成功,则CAS服务器生成一个票据(Ticket),并将其返回给CAS客户端。
CAS客户端收到票据后,将其发送给CAS服务器进行验证。如果票据有效,则CAS服务器会生成一个票据授权(Ticket Granting Ticket,TGT),并将其返回给CAS客户端。TGT是CAS服务器生成的一个唯一标识符,用于标识用户的身份信息。
CAS客户端使用TGT来获取服务票据(Service Ticket,ST),并将其发送给CAS服务器。服务票据包含了用户的身份信息,可以用于在应用程序中进行身份验证。CAS客户端使用服务名称(service)作为参数请求ST,CAS服务器根据TGT生成ST,并将其返回给CAS客户端。
应用程序收到服务票据后,将其发送给CAS客户端进行验证。如果服务票据有效,则CAS客户端会将其中的用户身份信息提取出来,并将其传递给应用程序。应用程序可以根据身份信息进行用户授权和访问控制。
优点:
用户体验好:使用CAS实现单点登录可以提高用户体验,用户只需要登录一次就可以访问多个应用程序,不需要重复输入用户名和密码。
安全性高:CAS使用票据(Ticket)来验证用户身份,票据只能在CAS服务器和客户端之间传递,防止了密码被截获的风险。此外,CAS支持多种认证方式,如LDAP、数据库、Active Directory等,可以根据需要选择适合自己的认证方式。
可扩展性好:CAS支持多种客户端库和API,可以轻松地与其他应用程序集成。此外,CAS还支持多种存储方式,如内存、数据库、LDAP等,可以根据需要进行扩展。
开源免费:CAS是一个开源项目,可以免费使用和修改,没有额外的授权费用。
缺点:
配置和实现复杂:CAS的配置和实现较为复杂,需要对CAS服务器和客户端进行配置和开发,需要一定的技术和经验。
单点故障:由于CAS是一个中心化的单点登录服务,如果CAS服务器出现故障,所有的应用程序都将无法访问,可能会影响业务运行。
性能瓶颈:由于所有的应用程序都需要通过CAS服务器进行身份验证,如果请求量过大,可能会导致CAS服务器性能瓶颈。
综上所述,CAS实现单点登录具有良好的用户体验和安全性,但需要注意配置和实现细节,同时需要解决单点故障和性能瓶颈等问题。
需要注意,CAS服务器和客户端之间的通信应该使用HTTPS协议进行加密,以保证安全性。此外,CAS服务器和客户端之间的通信需要使用相同的加密密钥,以确保票据的安全性。
总之,使用CAS实现单点登录可以提高用户体验和应用程序的安全性,但需要注意配置和实现细节。
单点登录建设方案 第5篇
本文通过以下创新技术手段,显著提升了单点登录(SSO)系统的整体性能,包括安全性、稳定性和容错性:
访问控制:通过用户的IP地址、MAC地址和访问时间设定连续访问和不连续访问的门限。
登录态记录:记录连续访问用户的统一认证登录态。
多项式算法保护:将登录态隐藏在多项式的常数中,通过多项式算法的思想进行保护。
条件计算:依据多种条件计算解出多项式,才能获得隐藏在常数中的登录态。
认证判断:根据定义的条件,判断是否授予用户登录态,从而进行认证。
这些技术手段不仅解决了现有单点登录系统的不足,还为用户提供了更流畅和安全的访问体验。
单点登录建设方案 第6篇
根据用户的登录信息,判断是否生成登录态标识,并通过计算得出已生成的登录态标识,返回给待访问系统,进行登录操作。
本方案具体业务流程如下:
1)用户A访问系统K,系统K向扩展方案发送登录请求。
2)扩展方案判断用户A是否有登录态,若有则返回可登录结果。
3)判断用户A是否连续访问,若非连续,则请求认证中心生成访问令牌,再次登录系统K。
4)若连续访问,且登录次数小于N,则记录登录信息。
5)若连续访问,且登录次数等于N,则生成登录态标识L和随机多项式,记录坐标点。
6)通过扩展方案解出多项式,获取登录态标识L,返回给系统K。
7)系统K获取登录态标识L,创建会话,用户A成功登录。
单点登录建设方案 第7篇
在现代信息系统中,业务系统的统一认证和单点登录(Single Sign-On, SSO)功能已成为多个业务系统整合、跨组织协作平台、大型在线服务平台以及政府和公共服务平台必不可少的组成部分。统一认证和SSO的主要优势在于实现用户管理的集中化,提高系统安全性,并为用户提供一致且简化的访问体验。
然而,现有的单点登录技术在容错性和安全性方面仍存在一些不足。本文提出了一种基于单点登录的扩展方案,旨在增强现有解决方案的容错性、安全性和稳定性,从而为用户提供更可靠的服务。
单点登录建设方案 第8篇
本文提出的基于单点登录的扩展方案,旨在解决统一认证系统中的单一认证中心所带来的负载问题和宕机风险。通过提高系统的安全性、稳定性和容错性,为用户提供更优质的访问体验。
我们将通过不断的技术创新和应用扩展,以满足不同用户的个性化需求。基于单点登录的扩展方案将为各类组织和平台提供更加安全、稳定和便捷的认证服务,推动信息系统的智能化和数字化转型,期待在未来的技术发展中,继续为用户带来更优质的体验和更高效的服务。
单点登录建设方案 第9篇
1)提高用户的效率。
用户不再被多次登录困扰,也不需要记住多个 ID 和密码。另外,用户忘记密码并求助于支持人员的情况也会减少。
2)提高开发人员的效率。
SSO 为开发人员提供了一个通用的身份验证框架。实际上,如果 SSO 机制是独立的,那么开发人员就完全不需要为身份验证操心。他们可以假设,只要对应用程序的请求附带一个用户名,身份验证就已经完成了。
3)简化管理。
如果应用程序加入了单点登录协议,管理用户帐号的负担就会减轻。简化的程度取决于应用程序,因为 SSO 只处理身份验证。所以,应用程序可能仍然需要设置用户的属性(比如访问特权)。
1)不利于重构
因为涉及到的系统很多,要重构必须要兼容所有的系统,可能很耗时。
2) 无人看守桌面
因为只需要登录一次,所有的授权的应用系统都可以访问,可能导致一些很重要的信息泄露。
参考: