单点登陆SSO原理介绍

SSO 是一个非常大的主题，我对这个主题有着深深的感受，自从广州 UserGroup 的论坛成立以来，无数网友都在尝试使用开源的 CAS ， Kerberos 也提供另外一种方式的 SSO ，即基于 Windows 域的 SSO ，还有就是从 2005 年开始一直兴旺不衰的 SAML 。

如果将这些免费的 SSO 解决方案与商业的 Tivoli 或 Siteminder 或 RSA Secure SSO 产品做对比，差距是存在的。毕竟，商业产品的安全性和用户体验都是无与伦比的，我们现在提到的 SSO ，仅仅是 Web SSO ，即 Web-SSO 是体现在客户端；另外一种 SSO 是桌面 SSO ，例如，只需要作为 Administrator 登录一次 windows 2000 ，我便能够在使用 MSN/QQ 的时候免去登录的环节 ( 注意，这不是用客户端软件的密码记忆功能 ) ，是一种代理用户输入密码的功能。因此，桌面 SSO 是体现在 OS 级别上。

今天，当我们提起 SSO 的时候，我们通常是指 Web SSO ，它的主要特点是， SSO 应用之间走 Web 协议 ( 如 HTTP/SSL) ，并且 SSO 都只有一个登录入口。

简单的 SSO 的体系中，会有下面三种角色：

1 ， User （多个）

2 ， Web 应用（多个）

3 ， SSO 认证中心（ 1 个）

虽然 SSO 实现模式千奇百怪，但万变不离其宗：

l Web 应用不处理 User 的登录，否则就是多点登陆了，所有的登录都在 SSO 认证中心进行。

l SSO 认证中心通过一些方法来告诉 Web 应用当前访问用户究竟是不是张三 / 李四。

l SSO 认证中心和所有的 Web 应用建立一种信任关系， SSO 认证中心对用户身份正确性的判断会通过某种方法告之 Web 应用，而且判断结果必须被 Web 应用信任。