**
單點登錄sso認證中心
**
什麼是單點登錄?單點登錄全稱Single Sign On(以下簡稱SSO),是指在多系統應用羣中登錄一個系統,便可在其他所有系統中得到授權而無需再次登錄,包括單點登錄與單點註銷兩部分
1. 登錄
相比於單系統登錄,sso需要一個獨立的認證中心,只有認證中心能接受用戶的用戶名密碼等安全信息,其他系統不提供登錄入口,只接受認證中心的間接授權。間接授權通過令牌實現,sso認證中心驗證用戶的用戶名密碼沒問題,創建授權令牌,在接下來的跳轉過程中,授權令牌作爲參數發送給各個子系統,子系統拿到令牌,即得到了授權,可以藉此創建局部會話,局部會話登錄方式與單系統的登錄方式相同。這個過程,也就是單點登錄的原理,用下圖說明
下面對上圖簡要描述
用戶訪問系統1的受保護資源,系統1發現用戶未登錄,跳轉至sso認證中心,並將自己的地址作爲參數
sso認證中心發現用戶未登錄,將用戶引導至登錄頁面
用戶輸入用戶名密碼提交登錄申請
sso認證中心校驗用戶信息,創建用戶與sso認證中心之間的會話,稱爲全局會話,同時創建授權令牌
sso認證中心帶着令牌跳轉會最初的請求地址(系統1)
系統1拿到令牌,去sso認證中心校驗令牌是否有效
sso認證中心校驗令牌,返回有效,註冊系統1
系統1使用該令牌創建與用戶的會話,稱爲局部會話,返回受保護資源
用戶訪問系統2的受保護資源
系統2發現用戶未登錄,跳轉至sso認證中心,並將自己的地址作爲參數
sso認證中心發現用戶已登錄,跳轉回系統2的地址,並附上令牌
系統2拿到令牌,去sso認證中心校驗令牌是否有效
sso認證中心校驗令牌,返回有效,註冊系統2
系統2使用該令牌創建與用戶的局部會話,返回受保護資源
用戶登錄成功之後,會與sso認證中心及各個子系統建立會話,用戶與sso認證中心建立的會話稱爲全局會話,用戶與各個子系統建立的會話稱爲局部會話,局部會話建立之後,用戶訪問子系統受保護資源將不再通過sso認證中心,全局會話與局部會話有如下約束關係
局部會話存在,全局會話一定存在
全局會話存在,局部會話不一定存在
全局會話銷燬,局部會話必須銷燬
你可以通過博客園、百度、csdn、淘寶等網站的登錄過程加深對單點登錄的理解,注意觀察登錄過程中的跳轉url與參數
2. 註銷
單點登錄自然也要單點註銷,在一個子系統中註銷,所有子系統的會話都將被銷燬,用下面的圖來說明
sso認證中心一直監聽全局會話的狀態,一旦全局會話銷燬,監聽器將通知所有註冊系統執行註銷操作
下面對上圖簡要說明
用戶向系統1發起註銷請求
系統1根據用戶與系統1建立的會話id拿到令牌,向sso認證中心發起註銷請求
sso認證中心校驗令牌有效,銷燬全局會話,同時取出所有用此令牌註冊的系統地址
sso認證中心向所有註冊系統發起註銷請求
各註冊系統接收sso認證中心的註銷請求,銷燬局部會話
sso認證中心引導用戶至登錄頁面
3. 整體陳述
單點登錄涉及SSO認證中心與多個子系統,子系統與SSO認證中心需要通信(交換令牌、校驗令牌及發起註銷請求等),子系統中包含SSO的客戶端,SSO認證中心是服務端
認證中心與客戶端通信可通過 httpClient、web service、rpc、restful api(url是其中一種) 等實現
客戶端與服務器端的功能
- 客戶端:
- 攔截子系統未登錄用戶請求,跳轉至sso認證中心
- 接收並存儲sso認證中心發送的令牌
- 與服務器端通信,校驗令牌的有效性,建立局部會話
- 攔截用戶註銷請求,向sso認證中心發送註銷請求
- 接收sso認證中心發出的註銷請求,銷燬局部會話
- 服務器端:
- 驗證用戶的登錄信息
- 創建全局會話
- 創建授權令牌
- 與客戶端通信發送令牌
- 校驗客戶端令牌有效性
- 系統註冊
- 接收客戶端註銷請求,註銷所有會話