SSO单点登录原理详解

article/2025/9/21 10:33:04

本文主要对SSO单点登录与CAS、OAuth2.0两种授权协议的关系和原理进行详细说明。
1. 基础概念

术语解释

SSO-Single Sign On,单点登录

TGT-Ticket Granting Ticket,用户身份认证凭证票据

ST-Service Ticket,服务许可凭证票据

TGC-Ticket Granting Cookie,存放用户身份认证凭证票据的cookie

SSO原理概述

SSO组件主要包含:SSO服务器、SSO客户端。SSO服务器主要负责完成用户认证、提供单点登录服务;SSO客户端部署在应用系统(Web应用端与C/S架构模式应用端),用户请求访问应用系统的受保护资源时,需要将请求转向SSO服务器进行身份认证、单点登录服务相关处理。

SSO单点登录访问流程主要有以下步骤:

1. 访问服务:SSO客户端发送请求访问应用系统提供的服务资源。

2. 定向认证:SSO客户端会重定向用户请求到SSO服务器。

3. 用户认证:用户身份认证。

4. 发放票据:SSO服务器会产生一个随机的Service Ticket。

5. 验证票据:SSO服务器验证票据Service Ticket的合法性,验证通过后,允许客户端访问服务。

6. 传输用户信息:SSO服务器验证票据通过后,传输用户认证结果信息给客户端。

7. 单点退出:用户退出单点登录。

SSO单点登录访问总共会涉及以上6个步骤,但用户不同的SSO访问可能只会涉及到几个步骤,我们把SSO访问流程我们分为5种实例情况介绍:登录点首次访问、登录点二次访问、单点首次访问、单点二次访问、单点退出。这5种实例应当可以比较全面地展示SSO访问实现的机制。
 

SSO单点登录(Single sign-on)

所谓单点登录就是在多个应用系统中,用户只需登录一次就可以访问所有相互信任的系统。

CAS 中央认证服务(Central Authentication Service)

CAS是由美国耶鲁大学发起的一个企业级开源项目,旨在为WEB应用系统提供一种可靠的单点登录解决方案(WEB SSO)。

OAuth2.0 开放授权(Open Authorization)

OAuth2.0是一个为用户资源授权定义的安全标准,主要用于第三方应用授权登录,由于OAuth1.0标准存在安全漏洞现在已升级到2.0版本。

SSO单点登录与CAS 和OAuth之间有什么区别

SSO仅仅是一种设计架构,而CAS和OAuth是SSO的一种实现方式,他们之间是抽象与具象的关系。

登录点首次访问

说明:用户首次访问”登录点“System1,session中没有用户上下文,于是将请求地址包装为service参数,转向SSO服务器”定向认证“,SSO服务器返回登录页面,用户录入用户名、密码等凭证信息,提交给SSO服务器,SSO服务器进行认证,认证成功后,生成TGT,再根据TGT发放票据ST,返回响应给浏览器,浏览器带着票据ST的service参数的请求,请求SSO服务器验证票据,验证票据成功后,返回给浏览器用户信息(通过cas协议约定的xml格式传递数据解析转换成需要的用户信息),设置session用户上下文、cookie中设置TGC。
 

 登录点二次访问

说明:用户在上述“登录点首次访问”登录成功后,再次访问登录点的应用服务时,判断session中已经存在用户上下文,就不再拦截,直接转向到需要访问的目标服务资源。

单点首次访问

说明:同上述“登录点首次访问”的说明。


单点二次访问

   与“登录点二次访问”相似。
单点退出


说明:用户单点登录后,有一个全局的过滤器SingleSignOutFilter对访问的安全资源的ticket,sessionid记录到一个映射表,我们暂称其为票据会话映射表。在一个子系统(如system1)执行单点退出"/logout"时,先销毁system1的本地session,再向SSO服务器发送单点退出请求,SSO服务器接到这个请求后,将用户认证票据TGT销毁,清除浏览器cookie中的TGC,再读取票据会话映射表,将其对应的票据ST,session全部销毁。这样用户再访问时各子系统时,是单点退出状态,就需要重新登录。

我们再详细从CAS源码中看看SSO单点退出实现机制。

SSO客户端涉及源码类图如下:

2. 单点登录

让我们用两张图来看一下阐述一下单点登录的设计流程

打个比方,SSO 和我们去迪士尼玩时购买的通票很像,我们只要买一次通票,就可以玩所有游乐场内的设施,而不需要在过山车或者摩天轮那里重新买一次票。在这里,买票就相当于登录认证,游乐场就相当于使用一套 SSO 的公司,各种游乐设施就相当于公司的各个产品。

使用 SSO 的优点很明显:

提升用户体验

就以我厂为例。我厂有两个产品,丁香人才网和丁香园论坛,假如你是我厂用户,肯定无法忍受登录丁香园论坛的时候输入一次用户名密码,登录人才网又要输入一次用户名密码吧?

避免重复开发

假如你是我厂后端,每天任务都饱和的不行,肯定无法忍受到人才网开发一套登录逻辑,到论坛又开发一套登录逻辑吧?

提升安全系数

假如你是我厂运维,发现了一个安全隐患需要紧急修复。你肯定无法忍受给茫茫多的产品后端都发一封邮件,责令修复吧?万一漏了一个呢?。

3. CAS 流程

下面让我们用一张图来说明一下用户是如何在两个不同系统中如何实现CAS单点登录的。

CAS系统 (cas.qiandu.com)

门户系统 (www.qiandu.com)

邮箱系统(mail.qiandu.com)

1. 用户访问门户系统,门户系统是需要登录的,但用户现在没有登录。
2. 跳转到CAS认证服务,即CAS的登录系统。 CAS系统也没有登录,弹出用户登录页。
3. 用户填写用户名、密码,CAS系统进行认证后,将登录状态写入CAS的session,浏览器中写入cas.qiandu.com域下的Cookie。
4. CAS系统登录完成后会生成一个ST(Service Ticket),然后跳转到门户系统,同时将ST作为参数传递给门户系统。
5. 门户系统拿到ST后,从后台向CAS系统发送请求,验证ST是否有效。
6. 验证通过后,门户系统将登录状态写入session并设置www.qiandu.com域下的Cookie。

至此,跨域单点登录就完成了。以后我们再访问门户系统时,门户就是登录的。接下来,我们再看看访问邮箱系统时的流程。

1. 用户访问邮箱系统,邮箱系统没有登录,跳转到CAS系统。
2. 由于CAS系统已经登录了,不需要重新登录认证。
3. CAS系统生成ST,浏览器跳转到邮箱系统,并将ST作为参数传递给邮箱系统。
4. 邮箱系统拿到ST,后台访问CAS系统,验证ST是否有效。
5. 验证成功后,邮箱系统将登录状态写入session,并在mail.qiandu.com域下写入Cookie。

这样,app2系统不需要走登录流程,就已经是登录了。SSO,app和app2在不同的域,它们之间的session不共享也是没问题的。


4. OAuth 流程

OAuth2.0的四种授权方式

1. 授权码(authorization code)

这是最常用的一种方式,指的是第三方应用先申请一个授权码,然后再用该码获取令牌,项目中常用的就是这种
—这种模式算是正宗的oauth2的授权模式
—设计了auth code,通过这个code再获取token
—支持refresh token

2. 隐藏式(implicit)

允许直接向前端颁发令牌。这种方式没有授权码这个中间步骤,所以称为(授权码)“隐藏式”,一般应用于纯前端项目
—这种模式比授权码模式少了code环节,回调url直接携带token
—这种模式的使用场景是基于浏览器的应用
—这种模式基于安全性考虑,建议把token时效设置短一些
—不支持refresh token

3. 密码式(resource owner password credentials)

直接通过用户名和密码的方式申请令牌,这方式是最不安全的方式
—这种模式是最不推荐的,因为client可能存了用户密码
—这种模式主要用来做遗留项目升级为oauth2的适配方案
—当然如果client是自家的应用,也是可以
—支持refresh token

4. 凭证式(client credentials)

这种方式的令牌是针对第三方应用,而不是针对用户的,既某个第三方应用的所有用户共用一个令牌,一般用于后台api服务消费者设计
—这种模式直接根据client的id和密钥即可获取token,无需用户参与
—这种模式比较合适消费api的后端服务,比如拉取一些用户信息等
—不支持refresh token


 
5. CAS和OAuth的区别

CAS的单点登录时保障客户端的用户资源的安全,客户端要获取的最终信息是,这个用户到底有没有权限访问我(CAS客户端)的资源。

CAS的单点登录,资源都在客户端这边,不在CAS的服务器那一方。用户在给CAS服务端提供了用户名密码后,作为CAS客户端并不知道这件事。随便给客户端个ST,那么客户端是不能确定这个ST是用户伪造还是真的有效,所以要拿着这个ST去服务端再问一下,这个用户给我的是有效的ST还是无效的ST,是有效的我才能让这个用户访问。

OAuth2.0则是保障服务端的用户资源的安全,获取的最终信息是,我(OAuth2.0服务提供方)的用户的资源到底能不能让你(OAuth2.0的客户端)访问。

所以在最安全的模式下,用户授权之后,服务端并不能直接返回token,通过重定向送给客户端,因为这个token有可能被黑客截获,如果黑客截获了这个token,那用户的资源也就暴露在这个黑客之下了。

于是聪明的服务端发送了一个认证code给客户端(通过重定向),客户端在后台,通过https的方式,用这个code,以及另一串客户端和服务端预先商量好的密码,才能获取到token和刷新token,这个过程是非常安全的。

如果黑客截获了code,他没有那串预先商量好的密码,他也是无法获取token的。这样oauth2就能保证请求资源这件事,是用户同意的,客户端也是被认可的,可以放心的把资源发给这个客户端了
 


http://chatgpt.dhexx.cn/article/ovk8jAuL.shtml

相关文章

10.单点登录原理及JWT实现

10.单点登录原理及JWT实现

单点登录原理及JWT实现 一、单点登录效果 首先我们看通过一个具体的案例来加深对单点登录的理解。案例地址:https://gitee.com/xuxueli0323/xxl-sso?_fromgitee_search 把案例代码直接导入到IDEA中 然后分别修改下server和samples中的配置信息 在host文件中配置 …
阅读更多...
单点登录SSO的实现原理

单点登录SSO的实现原理

单点登录SSO(Single Sign On)说得简单点就是在一个多系统共存的环境下,用户在一处登录后,就不用在其他系统中登录,也就是用户的一次登录能得到其他所有系统的信任。单点登录在大型网站里使用得非常频繁,例如…
阅读更多...
单点登录原理及实现

单点登录原理及实现

一,背景 单点登录顾名思义就是在多个应用系统中,只需要登录一次,就可以访问其他相互信任的应用系统,免除多次登录的烦恼。比如我们登录了百度账号,再去百度百科,百度文库就不需要再次登录了。 二&#xf…
阅读更多...
CGAL:学习CGAL

CGAL:学习CGAL

背景 CGAL是一个非常有用的库,但是学习起来非常痛苦。为此,我们计划通过一些小的demo,逐渐学习CGAL的使用方法。目前,由于我们还缺少对CGAL的整体把握,所以demo没有连贯性,且难度飘忽不定。不过随着我们的…
阅读更多...
CGAL例程:点云数据三维重建

CGAL例程:点云数据三维重建

作者:西蒙吉罗多 链接:CGAL 5.4 - Manual: Surface Reconstruction from Point Cloudshttps://doc.cgal.org/latest/Manual/tuto_reconstruction.html 目录 2 我应该使用哪种算法? 3 管道概览 4 读取点云数据 5 点云预处理 5.1 异常值…
阅读更多...
CGAL编译与配置

CGAL编译与配置

从来没有自己编译过第三方库,每次看到cmake上那些红色的错误就头疼,从来都是伸手党,不过这次没有要到编译好的CGAL,只能硬着头皮自己来。当编译完看到自己的例子跑通,才发现并没有想象中的复杂。 (此方法在win7和win1…
阅读更多...
CGAL的使用

CGAL的使用

1 C++类的知识 因为CGAL是用C++实现的,所以需要先了解一下C++编程。C++是面向对象的编程,这也是C++对C语言改进的最重要的部分。C++也被叫做是"带类的 C"。简单讲一下类的构成,成员函数以及对象的定义和使用。 1.1 C++类的构成 首先从C的结构体说起。C中的结构体我想…
阅读更多...
cgal配置以及一些资料

cgal配置以及一些资料

Win7下VS2008编译CGAL3.9 (转:http://blog.csdn.net/wsh6759/article/details/6977847) CGAL是比较经典的计算几何库,算法经典,稳定高效。 本文介绍编译CGAl情况, 前期准备: BOOST&#x…
阅读更多...
CGAL学习记录

CGAL学习记录

CGAL学习记录 前言CGAL 介绍CGAL Linux安装CGAL Windos安装CGAL 安装错误及解决办法CGAL 安装后测试CGAL I/O读写 FunctionsCGAL OFF数据格式CGAL OFF STL相互转换CGAL 表面细化CGAL 表面平滑CGAL 表面补洞CGAL 自相交检测CGAL 提取中心线 前言 原先使用vtk有些小地方不是很理…
阅读更多...
CGAL Cookbook --CGAL简介

CGAL Cookbook --CGAL简介

##前言 ## 接触CGAL已经有半年了,从最初的厌恶(对于一个初学者来说,CGAL确实有点难度,它要求初学者有一定基础)到后来的喜欢。现在觉得CGAL简直完美极了,虽然它存在一些BUG但是这并不妨碍我爱上CGAL。它的…
阅读更多...
[CGAL] CGAL的编译与使用

[CGAL] CGAL的编译与使用

文章目录 方法一:自己安装依赖库安装Boost安装CGAL安装Qt编译示例在VS中使用CGAL库引用boost引用gmp引用CGALHelloworld 报错处理在cmake配置时报错:未能找到Boost编译示例,未找到GMP编译Mesh_3例子报错:未能找到Eigen3编译demo/P…
阅读更多...
CGAL学习之路(三):CGAL读写点云

CGAL学习之路(三):CGAL读写点云

文章目录 1 CGAL创建点云1.1 insert方式1.2 迭代器方式 2 CGAL读点云2.1 读取XYZ点云2.2 读取PLY点云2.3 ifstream读取XYZ \ PLY点云 3 CGAL输出点坐标3.1 输出点云所有坐标3.2 输出某一点的坐标3.3 输出XYZ坐标 4 CGAL保存点云(XYZ | PLY)5 添加法向量字…
阅读更多...
【C++】CGAL学习笔记

【C++】CGAL学习笔记

一、HELLO WORLD 1. 官方文档:CGAL-TUTORIALS 2. 所有CGAL头文件都在子目录中。所有CGAL类和函数都在命名空间中。类以大写字母开头,全局函数以小写字母开头,常量全部大写。 3. 几何图元,如点、线等都定义在内核Kernel中 #inc…
阅读更多...
自动化测试方案设计和实现

自动化测试方案设计和实现

编辑推荐: 本文主要介绍了几种测试类型需求,以及自动化测试方案设计和实现,希望对您的学习有所帮助。 本文来自于知乎,由火龙果软件Alice编辑、推荐。 如果对软件测试、接口、自动化、性能测试、测试开发、面试经验交流。感兴趣可以8101198…
阅读更多...
测试方案模板

测试方案模板

(iwebshop项目)测试方案 (仅供参考) 文档版本控制 文档版本号 日期 作者 审核人 说明 V1.0 2017/11/24 陈.. 创建文档 1. 概述 【软件的错误是不可避免的,所以必须经过严格的测试。通过对…
阅读更多...
测试方案/测试计划/测试报告,经常弄混要怎么区分?

测试方案/测试计划/测试报告,经常弄混要怎么区分?

目录 前言 1、测试方案和测试计划的区别 2、测试方案和测试计划什么时候编写 3、测试方案 4、测试计划 5、测试报告 前言 测试方案和测试计划,测试报告几乎都是每个测试人员都必须掌握的。但有时经常搞混,特别是测试方案和测试计划。 1、测试方案…
阅读更多...
自动化测试方案

自动化测试方案

自动化测试体系方案 方案1全编写代码流程 UI自动化: 使用python或java,配合selenium库及pytest框架做UI自动化测试。(通过selenium的webdriver驱动,驱使浏览器) 1. WebDriver API(基于Java、Python&…
阅读更多...
SpringBoot - 应用程序测试方案

SpringBoot - 应用程序测试方案

文章目录 PreSpring Boot 中的测试解决方案测试 Spring Boot 应用程序初始化测试环境SpringBootTestSpringBootTest - webEnvironment RunWith 注解与 SpringRunner 执行测试用例使用 DataJpaTest 注解测试数据访问组件Service层和Controller的测试使用 Environment 测试配置信…
阅读更多...
测试计划和测试方案有什么区别?

测试计划和测试方案有什么区别?

一、测试计划 1、测试计划是什么? 测试计划是组织管理层面的文件,从组织管理的角度对一次测试活动进行规划。对测试全过程的测试范围、组织、资源、原则等进行规定和约束,并制定测试全过程各个阶段的任务分配以及时间进度安排,并…
阅读更多...
测试方案的设计及模板

测试方案的设计及模板

测试方案设计及模板 测试方案设计概括xx测试方案_模板1.引言2.测试策略3.测试设计4.测试资源5.输出文档6.修订记录推荐书籍 测试方案设计概括 xx测试方案_模板 1.引言 1.1目的 根据需要实现的需求与软件的设计架构,设计满足测试目标的方案,用来指导测试…
阅读更多...
推荐文章

Copyright @ 2022~2023