单点登陆-01(分析篇)

 

  原来我一直以为“单点登陆”是指某个账户只能在一个地方登陆，也即服务器只有某个账户一个的一个实例。现在才发现我错了，而且错的很厉害啊。单点登录（ Single Sign On ），简称为 SSO ，是目前比较流行的企业业务整合的解决方案之一。 SSO 的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。

    较大的企业内部，一般都有很多的业务支持系统为其提供相应的管理和 IT 服务。例如财务系统为财务人员提供财务的管理、计算和报表服务；人事系统为人事部门 提供全公司人员的维护服务；各种业务系统为公司内部不同的业务提供不同的服务等等。这些系统的目的都是让 计算机 来 进行复杂繁琐的计算工作，来替代人力的手 工劳动，提高工作效率和质量。这些不同的系统往往是在不同的时期建设起来的，运行在不同的平台上；也许是由不同厂商开发，使用了各种不同的技术和标准。现状如图：

基于上述现状，一个员工在某个系统上登陆，现在要从这个系统上去另一个系统上协同工作，这样一来员工又得登陆一次。繁琐！ 使用“ 单点登录” 整合后，只需要登录一次就可以进入多个系统，而不需要重新登录，这不仅仅带来了更好的用户体验，更重要的是降低了安全的风险和管理的消耗。其结构图整体上的流程图如下 图所示：

上述图示中的流程可以比喻成一个游客去一个圣地参观旅游，圣地有许多景点，其中每个景点都必须买票参观。如果游客没有在前台买 套票 的话，每个景点都都必须买票进站。现在有个售票前台游客买一个 套票，只要想进景点就进，各个景点 前台 的任务就是检查下游客套票的合法性。

在上述的例子中 “ 游客 ” 相当于用户 ;“ 套票 ” 相当于 tickect;“ 售票前台 ” 相当于用户认证中心而各个 “ 景点 ” 相当于各个系统，各个 “ 景点 前台 ” 相当于检验用户是否登陆携带 tickect 的过滤器。其实软件来源于生活，我始终这样认为，软件也是人脑想出的，和我们的日常规律模式一样。善于在生活中思考才能在软件业种站立脚跟。

现在讲讲这样的系统群如何实现？遵循什么规则？在我的理解 SSO 中需以下几点：

1. 有个统一的用户认证中心能颁发一个易解性的登陆凭证（ tickect ）

2. 各个系统能接受凭证并正确解析才登陆凭证（ tickect ）的数据

3. 各个系统需要一个开放的通讯协议（所谓协议就是“ 数据规则 ”）