前言
N个应用系统,对应着N个账号和密码,有没有一个系统可以一个账号就能登录N个应用系统?
有,SSO单点登录。
环境
系统环境
Distributor ID: Ubuntu
Description: Ubuntu 18.04.4 LTS
Release: 18.04
Codename: bionic
Linux version : 5.3.0-46-generic ( buildd@lcy01-amd64-013 )
Gcc version: 7.5.0 ( Ubuntu 7.5.0-3ubuntu1~18.04 )
软件信息
version :
Python 3.7
正文
单点登录 - SSO
现阶段互联网中拥有着大量的应用系统,极大地提升了大家的工作效率与生活质量。然而大量的应用系统拥有着不同的认证与授权模式,这使得用户需要大量记忆用户名与口令,并多次登录和注册所需要使用的系统,这使得用户的使用体验非常的糟糕。因此,单点登录系统(SSO,Single Sign-On)应运而生。
常见的应用有两种情况:
- 在一个单位中,需要使用多个功能不同的系统应用,比如企业会有专门的财务系统,销售的CRM系统,人事的OA、邮箱系统,如果每个系统都用独立的账号认证体系,会给员工带来很大困扰,同时不方便管理。所以需要设计一种统一登录的解决方案。
- 现在是App爆炸的时代,如果每个App都需要独立的登陆账号和密码,肯定不方便用户管理,所以需要设计一种可多平台授权登陆的解决方法,比如:我登陆淘宝时使用支付宝授权认证登陆,使用微博时使用微信授权登陆。
SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。
OAuth2.0
OAuth 2.0是一个关于授权的开放网络协议,它允许用户让第三方网站访问该用户在某一网站上存储的信息和资源,如账户信息,照片,联系人等,而不需要给第三方网站提供某一网站上的账户和密码。
OAuth授权流程如下所述:
1、用户打开客户端,客户端要求授权。
2、用户同意客户端授权。
3、客户端使用上一步提供的授权,向服务器授权层申请令牌。
4、授权服务器对客户端进行认证后,同意发放令牌。
5、客户端使用令牌,向资源服务器申请资源。
6、资源服务器确认令牌,向客户端开放资源。
OAuth 场景说明:
比如小编之前在碎片时间多是使用头条来获取最新的信息资讯,最近了解抖音很火,就下载了抖音,选择登录注册页面时可以使用头条作为登录的授权。
多平台登录多用于多个合作企业间通过互联网相互协助验证用户的身份,电商网站广泛使用社交网站的账号进行多平台登录,可以起到客户引流、降低首次购买门槛、营销跟踪等效果。
LDAP
LDAP是一种基于轻量目录访问协议,全称是Lightweight Directory Access Protocol,是由一个为查询、浏览和搜索而优化的数据库构成,它成树状结构组织数据,类似文件目录一样。
LDAP单点登录认证主要是改变原有的认证策略,使得需要的软件都通过LDAP服务器进行认证,在统一身份认证后,用户的所有信息都存储在AD Server中,终端用户在需要使用公司内部服务的时候,都需要通过AD服务器进行认证。
整个LDAP登录流程由以下4个步骤组成:
-
连接到LDAP服务器。
-
绑定到LDAP服务器。
-
在LDAP服务器上执行所需要的操作。
-
释放LDAP服务器的连接。
LDAP场景说明:
企业内部需要认证的服务很多,员工需要记住很多的密码, 即使对这些服务进行相同的密码设置,也存在很大的安全隐患。比如我们公司,有jira、confulence、gitlab、北森等系统。
使用场景是提高用户在同一个企业的多个站点(域名)之间的无缝浏览体验,例如企业内部可能有多个处理不同业务的系统(OA系统,邮箱,财务等),用户只要在一个系统上保持登录状态,即可无需再次登录访问其他内部系统。
CAS
SSO 仅仅是一种架构,一种设计,而 CAS 则是实现 SSO 的一种手段。两者是抽象与具体的关系。
CAS即Central Authentication Service模型(中央式认证服务),该协议是为应用提供可信身份认证的单点登录系统,最初是由耶鲁大学开发的。CAS 包含两个部分: CAS Server 和 CAS Client。CAS Server 需要独立部署,主要负责对用户的认证工作;CAS Client 负责处理对客户端受保护资源的访问请求,需要登录时,重定向到 CAS Server。
**CAS的详细流程:
- 用户访问www.zju.edu.cn,请求经过第一个由CAS提供的过滤器AuthenticationFilter进行判断。首先判断是否登录,如果没有登录则将重定向到CAS认证中心。
- www.zju.edu.cn的服务器发现用户没有登录,浏览器就会返回状态码302,返回浏览器的重定向地址即为https://cas.zju.edu.cn。浏览器会通过get方式添加回调参数,该参数用来对登录成功后重定向返回的参数使用。该参数用来登录成功后重定向返回的参数使用。该参数就是请求的www.zju.edu.cn
- 浏览器发起重定向,请求https://cas.zju.edu.cn。
- 认证中心https://cas.zju.edu.cn收到登录请求,返回登录界面。
- 用户在登录页输入用户和密码,并提交。
- 服务器收到用户名并验证有效性,验证的逻辑可以自己实现,也可以由CAS框架提供。重定向后会通过get方式携带一个token令牌。
- 浏览器拿到token令牌后,就重定向到www.zju.edu.cn。
- www.zju.edu.cn收取到get方式传过来的token值,通过调用https://cas.zju.edu.cn验证该token令牌是否有效。
- https://cas.zju.edu.cn接收到token后对其进行验证,并返回该token的有效性。
- www.zju.edu.cn接收到https://cas.zju.edu.cn返回的信息,确认用户合法,显示本页面资源。
- 当用户第二次发起请求访问www.zju.edu.cn时,会经过cas-client,在第一次访问成功后会在www.zju.edu.cn记录Session信息,因此直接通过不用验证。
- 返回本页面资源。
- 用户在正常访问www.zju.edu.cn的情况下,想访问mail.zju.edu.cn,并向其发起请求。
- mail.zju.edu.cn收到请求,发现首次访问,并给其重定向地址,重定向为https://cas.zju.edu.cn。
- 浏览器根据重定向地址访问认证中心,由于之前由成功访问锅,这次会带上上次返回的cookie:TGC到认证中心。
- 认证中心收到请求,法相TGC对应的TGT,于是用TGT签发一个ST,并返回给浏览器,让他重定向到mail.zju.edu.cn
- 浏览器根据重定向的网站进行重定向,访问mail.zju.edu.cn
- mail.zju.edu.cn获取token去认证中心认证。
- 认证成功并返回mail.zju.edu.cn,并在Session中设置登录状态。
- 显示mail.zju.edu.cn页面资源
总结
今天介绍的几种单点登录系统,均具有较高的安全性,都能较好地完成单点登录系统的需求。
- OAuth协议能广泛应用于互联网中,基于大企业的巨大用户量,能减少小网站的注册推广成本,并且能做到更加便捷的资源共享。
- LDAP协议适用于企业用户使用,通过LDAP协议,能较好地管理员工在公司各系统之间的授权与访问。
- CAS模型,作为权威机构开发的系统,具有很好的兼容性与安全性,广泛应用于各大高校等大型组织,能很好地完成大量系统的对接与大量人员的使用。
可根据自身需求,选择不同的单点登录系统,来满足目标用户的使用。
后记
None
