`
ziffwong
  • 浏览: 6165 次
社区版块
存档分类
最新评论

单点登录SSO:图示和讲解

阅读更多

原文地址:http://www.cnblogs.com/baibaomen/p/sso-sequence-chart.html 。转载须保留本链接。

 

敢说最准确的单点登录图示,因为:

我严格对照所画时序图的每个步骤,开发了完整的跨域单点登录范例;

时序图绘出的所有服务端步骤,都在代码中逐一标注对应,跟踪调试代码就能两相对照,深入理解流程;

跨域Web SSO的核心在于写cookie、URL传参策略。其参与对象多、逻辑分支繁杂也难倒很多人。所见的其它教程图示往往对cookie和传参语焉不详,让人初看简单明了、细想很困惑。我做的时序图详细展现了这些关键细节。

话不多说,先上图吧。

一 示例运行效果动画

百宝门跨域Web SSO方案演示

图一 百宝门跨域Web SSO方案演示

二 跨域Web SSO时序图

会比其它单点登录教程暴露更多比较重要的细节,没基础初看可能会晕。请先读完下面的知识点讲解,再回头理解本图,尤其是注意各个URL传参、以及写cookie的动作。

该图也将作为跨域Web SSO原理的核心,在后继相关文章中反复引用到。

最准确的SSO时序图

图二 跨域Web SSO时序图。包含cookie、URL具体跳转策略。是透彻理解和掌握跨域Web单点登录的核心。

三 单点登录代码截图

代码逻辑严格和时序图对应,在注释中标明了对应的步骤编号:

单点登录SSO代码

图三 单点登录范例代码。和时序图逐一对应标注

四 几个基本概念

4.1  什么是跨域Web SSO。

域名通过“.”号切分后,从右往左看,不包含“.”的是顶级域名,包含一个“.”的是一级域名,包含两个“.”的是二级域名,以此类推。

例如对网址http://www.cnblogs.com/baibaomen,域名部分是www.cnblogs.com。用“.”拆分后从右往左看:

”com”不包含“.”,是顶级域名; “cnblogs.com”包含一个“.”,是一级域名;www.cnblogs.com包含两个“.”,是二级域名。

跨域Web SSO指的是针对Web站点,各级域名不同都能处理的单点登录方案。

4.2  浏览器读写cookie的安全性限制:一级或顶级域名不同的网站,无法读到彼此写的cookie。

所以baidu.com无法读到cnblogs.com写的cookie。

一级域名相同,只是二级或更高级域名不同的站点,可以通过设置domain参数共享cookie读写。这种场景可以选择不跨域的SSO方案。

域名相同,只是https和http协议不同的URL,默认cookie可以共享。知道这一点对处理SSO服务中心要登出

4.3  http协议是无状态协议。浏览器访问服务器时,要让服务器知道你是谁,只有两种方式:

方式一:把“你是谁”写入cookie。它会随每次HTTP请求带到服务端;

方式二:在URL、表单数据中带上你的用户信息(也可能在HTTP头部)。这种方式依赖于从特定的网页入口进入,因为只有走特定的入口,才有机会拼装出相应的信息,提交到服务端。

大部分SSO需求都希望不依赖特定的网页入口(集成门户除外),所以后一种方式有局限性。适应性强的方式是第一种,即在浏览器通过cookie保存用户信息相关凭据,随每次请求传递到服务端。本文的方案是第一种。

五 本单点登录的应用场景涉及的站点和页面

5.1  SSO服务站点,图中是sso.baibaomen.com;

5.2  集成SSO的子站点一。图中是java-client.net;

5.3  集成SSO的子站点二。图中是php-client.cn;

5.4  SSO服务站点有登录/注销页面login.html,以及基于.NET的几个handler:sso/login/validate/logout。

为了说清楚在各子站点首次访问和后继访问的单点登录流程,分别做了两个需登录访问的页面:

java-client.net的两个页面是auth-required.jsp和auth-required2.jsp;php-client.cn的两个页面是auth-required.php和auth-required2.php。

六 重点理解:单点登录的核心步骤

本节是帮助各位速掌握单点登录的核心步骤。为避免过多信息干扰理解,略去了非主干的细节。为透彻把握细节,请在理解本节后,再仔细对照学习SSO时序图。

6.1  用户未登录时访问子站一,子站一服务器检测到用户没登录(没有本站session,因为没传过来session对应cookie),于是通知浏览器跳转到SSO服务站点,并在跳转的URL参数中带上当前页面地址,以便登录后自动跳转回本页。

6.2  SSO服务站点检测到用户没有登录,于是显示登录界面。

用户提交登录请求到服务端,服务端验证通过,创建和账号对应的用户登录凭据(token)。

然后,服务端通知浏览器把该token作为SSO服务站点的cookie存储起来,并跳转回子站一,跳回子站一的URL参数中会带上这个token。

6.3  浏览器在写SSO服务站点cookie后,跳转回子站一。

子站一服务端检测到浏览器请求的URL中带了单点登录的token,于是把这个token发到SSO服务站点验证。

SSO服务端站点拿token解密出用户账号,把账号信息中允许子站一访问的部分返回给子站一。

子站一根据返回的信息生成用户在本站的会话,把会话对应cookie写入浏览器,从而完成在本站的登入以及会话保持。之后用户访问再子站一时,都会带上这个cookie,从而保持在本站的登录状态。

6.4  用户再访问子站二。子站二服务器检测到用户没登录,于是通知浏览器跳转到SSO服务站点。

6.5  浏览器访问SSO服务站点时会带上上述6.2环节创建的token这个cookie。SSO服务站点根据该token能找到对应用户,于是通知浏览器跳转回子站二,并在跳转回去的URL参数中带上这个token。

6.6  子站二服务端检测到浏览器请求的URL中带上了单点登录的token,于是又会走上述6.3对应步骤,完成用户在本站的自动登录。

单点登出的流程,将在下篇完整代码实例中,一并讲解。

为方便大家讨论交流,除了时序图,本文各章节也作了详细编号。有疑问的童鞋,请尽可能在回复中包含有疑问部分的编号,这样可以快速定位。

 

原文地址:http://www.cnblogs.com/baibaomen/p/sso-sequence-chart.html 。转载须保留本链接。

本系列各篇链接:

单点登录-SSO:概述与示例 http://www.cnblogs.com/baibaomen/p/sso.html

单点登录-SSO:图示和讲解 http://www.cnblogs.com/baibaomen/p/sso-sequence-chart.html

单点登录-SSO:一键运行的完整代码 http://www.cnblogs.com/baibaomen/p/sso-full-code.html

 

本作品采用知识共享署名-非商业性使用-相同方式共享 2.5 中国大陆许可协议进行许可。

我的博客欢迎复制共享,但在同时,请保留原文地址以及我的署名权百宝门-SSO顾问,并且,不得用于商业用途。

如您有任何疑问或者授权方面的协商,请给我邮件。 


博客园专栏:
百宝门-SSO顾问

我的公众号“百宝门”

 

 

分享到:
评论

相关推荐

    单点登录SSO-图示与讲解

    ### 单点登录(SSO)知识点详解 #### 概述 单点登录(Single Sign-On,简称SSO)是一种身份认证机制,允许用户通过一次登录即可访问多个应用系统,而无需重复输入凭证。这种机制极大地提高了用户体验,同时也简化了...

    [转]单点登录SSO:使用casserver

    单点登录(Single Sign-On,简称SSO)是一种网络认证机制,允许用户在一次登录后,可以在多个相互关联的应用系统间自由切换,而无需再次进行身份验证。这大大提升了用户体验,减少了用户记忆多个账号和密码的负担,...

    sso单点登录ppt.ppt

    sso单点登录ppt.ppt

    单点登录SSO解决方案之SpringSecurity+JWT实现.docx

    单点登录(Single Sign-On,简称SSO)是一种认证机制,允许用户仅通过一次登录就能访问同一域下的多个应用程序和服务。这种机制简化了用户的使用体验,并提升了系统的整体安全性。 #### 二、单点登录的基本运行机制...

    单点登录SSO的实现原理

    单点登录SSO的实现原理 单点登录(SSO)是一种常见的技术实现原理,在多系统共存的环境下,用户在一处登录后,就不用在其他系统中登录,也就是用户的一次登录能得到其他所有系统的信任。实现单点登录说到底就是要...

    SSO:单点登录详细讲解说明

    对于现在很多的企业项目在开发和使用过程中都需要实现账号主战/主系统、子站/子系统通关登录,这个就是我们常说单点登录。前段时间项目中需要实现此功能,通过查找资料和网友的帮助,最终由朋友提供的这个资料,我...

    SSO 单点登录(java)

    以上是SSO单点登录在Java环境中的主要技术和知识点,理解并掌握这些内容,有助于构建高效且安全的多系统登录解决方案。对于各应用独立用户库的情况,可以通过用户同步、联合身份或联邦身份管理等方式来实现。在具体...

    编写自己的单点登录(SSO)服务

    单点登录 SSO单点登录 SSO单点登录 SSO单点登录 SSO

    SSO单点登陆解决方案

    SSO单点登录解决方案 SSO(Single Sign-On)单点登录解决方案旨在提供一个统一的身份验证入口,满足集团多个成员网站的身份验证需求。该方案的主要目标是实现单点登录,提高用户体验,降低成员网站的登录负载,并...

    跨服务器登录验证(单点登录SSO)过程和Java实现

    单点登录(Single Sign-On,简称SSO)是一种网络用户身份验证机制,允许用户在一次登录后访问多个相互关联的应用系统,而无需再次输入认证信息。这种机制极大地提高了用户体验,减少了用户记忆多套账号密码的困扰,...

    PHP 使用TP5.0 实现SSO单点登录

    因为公司要实现SSO单点登录的效果,最近在网上找了一些资料,但是都没有好用的, 所以自己用PHP 使用TP5.0 实现了SSO单点登录,可以跨多个域名。 下载后在本地配置好 A,B,C 3个网站,就可以模拟效果了。

    SSO单点登录

    ASP.NET跨域单点登录源码 asp.net 跨域单点登录实现原理: 当用户第一次访问web应用系统1的时候,因为还没有登录,会被引导到认证中心进行登录; 根据用户提供的登录信息,认证系统进行身份效验,如果 通过效验,...

    基于SAP NetWeaver EP的单点登录(SSO)

    ### 基于SAP NetWeaver EP的单点登录(SSO)详解 #### 引言 在现代企业的信息化建设中,门户系统作为整合不同应用和服务的重要平台,其与后台Web应用的集成变得日益关键。这不仅涉及到SAP系统如ITS、BSP或WebDynpro...

    基于JWT实现SSO单点登录流程图解

    基于JWT实现SSO单点登录流程图解 基于JWT实现SSO单点登录流程图解是指使用JSON Web Token(JWT)来实现单点登录(SSO)...基于JWT实现SSO单点登录流程图解是实现单点登录的一种常见方法,具有很高的安全性和可扩展性。

    单点登录 SSO 实例

    单点登录(Single Sign-...总的来说,单点登录SSO是一种提高网络安全性和用户便利性的关键技术,涉及到身份验证、权限控制和系统集成等多个层面。理解和掌握SSO的原理和实践,对于构建和维护现代企业级IT环境至关重要。

    java单点登录sso源码

    Java单点登录(Single Sign-On,SSO)是一种网络访问控制机制,允许用户在一次登录后,无需再次认证即可访问多个应用系统。SSO的核心思想是:用户只需要在一个可信的身份认证中心(Identity Provider,IdP)进行身份...

Global site tag (gtag.js) - Google Analytics