利用SSO實現單登錄系統的原理是什么-創新互聯

這期內容當中小編將會給大家帶來有關利用SSO實現單登錄系統的原理是什么，文章內容豐富且以專業的角度為大家分析和敘述，閱讀完這篇文章希望大家可以有所收獲。

創新互聯是一家專業提供涼城企業網站建設,專注與網站制作、成都網站設計、HTML5、小程序制作等業務。10年已為涼城眾多企業、政府機構等服務。創新互聯專業的建站公司優惠進行中。

一、準備

1、了解http請求及特點

2、了解cookie和session

3、了解用戶登錄和注銷流程

二、單機用戶登錄流程

總體流程圖實現：

1、http無狀態協議

web應用采用browser/server架構，http作為通信協議。http是無狀態協議，瀏覽器的每一次請求，服務器會獨立處理，不與之前或之后的請求產生關聯，這個過程用下圖說明，三次請求/響應對之間沒有任何聯系

但這也同時意味著，任何用戶都能通過瀏覽器訪問服務器資源，如果想保護服務器的某些資源，必須限制瀏覽器請求；要限制瀏覽器請求，必須鑒別瀏覽器請求，響應合法請求，忽略非法請求；要鑒別瀏覽器請求，必須清楚瀏覽器請求狀態。既然http協議無狀態，那就讓服務器和瀏覽器共同維護一個狀態吧！這就是會話機制

2、會話機制

瀏覽器第一次請求服務器，服務器創建一個會話，并將會話的id作為響應的一部分發送給瀏覽器，瀏覽器存儲會話id，并在后續第二次和第三次請求中帶上會話id，服務器取得請求中的會話id就知道是不是同一個用戶了，這個過程用下圖說明，后續請求與第一次請求產生了關聯

服務器在內存中保存會話對象，瀏覽器怎么保存會話id呢？你可能會想到兩種方式

請求參數

cookie

將會話id作為每一個請求的參數，服務器接收請求自然能解析參數獲得會話id，并借此判斷是否來自同一會話，很明顯，這種方式不靠譜。那就瀏覽器自己來維護這個會話id吧，每次發送http請求時瀏覽器自動發送會話id，cookie機制正好用來做這件事。cookie是瀏覽器用來存儲少量數據的一種機制，數據以”key/value“形式存儲，瀏覽器發送http請求時自動附帶cookie信息

tomcat會話機制當然也實現了cookie，訪問tomcat服務器時，瀏覽器中可以看到一個名為“JSESSIONID”的cookie，這就是tomcat會話機制維護的會話id，使用了cookie的請求響應過程如下圖

3、登錄狀態

有了會話機制，登錄狀態就好明白了，我們假設瀏覽器第一次請求服務器需要輸入用戶名與密碼驗證身份，服務器拿到用戶名密碼去數據庫比對，正確的話說明當前持有這個會話的用戶是合法用戶，應該將這個會話標記為“已授權”或者“已登錄”等等之類的狀態，既然是會話的狀態，自然要保存在會話對象中，tomcat在會話對象中設置登錄狀態如下：

HttpSession session = request.getSession();

session.setAttribute("isLogin", true);

用戶再次訪問時，tomcat在會話對象中查看登錄狀態：

HttpSession session = request.getSession();

session.getAttribute("isLogin");

三、 集群系統sso登錄

什么是單點登錄？單點登錄全稱Single Sign On（以下簡稱SSO），是指在多系統應用群中登錄一個系統，便可在其他所有系統中得到授權而無需再次登錄，包括單點登錄與單點注銷兩部分

1、登錄

相比于單系統登錄，sso需要一個獨立的認證中心，只有認證中心能接受用戶的用戶名密碼等安全信息，其他系統不提供登錄入口，只接受認證中心的間接授權。間接授權通過令牌實現，sso認證中心驗證用戶的用戶名密碼沒問題，創建授權令牌，在接下來的跳轉過程中，授權令牌作為參數發送給各個子系統，子系統拿到令牌，即得到了授權，可以借此創建局部會話，局部會話登錄方式與單系統的登錄方式相同。這個過程，也就是單點登錄的原理，用下圖說明

下面對上圖簡要描述

用戶訪問系統1的受保護資源，系統1發現用戶未登錄，跳轉至sso認證中心，并將自己的地址作為參數

sso認證中心發現用戶未登錄，將用戶引導至登錄頁面

用戶輸入用戶名密碼提交登錄申請

sso認證中心校驗用戶信息，創建用戶與sso認證中心之間的會話，稱為全局會話，同時創建授權令牌

sso認證中心帶著令牌跳轉會最初的請求地址（系統1）

系統1拿到令牌，去sso認證中心校驗令牌是否有效

sso認證中心校驗令牌，返回有效，注冊系統1

系統1使用該令牌創建與用戶的會話，稱為局部會話，返回受保護資源

用戶訪問系統2的受保護資源

系統2發現用戶未登錄，跳轉至sso認證中心，并將自己的地址作為參數

sso認證中心發現用戶已登錄，跳轉回系統2的地址，并附上令牌

系統2拿到令牌，去sso認證中心校驗令牌是否有效

sso認證中心校驗令牌，返回有效，注冊系統2

系統2使用該令牌創建與用戶的局部會話，返回受保護資源

用戶登錄成功之后，會與sso認證中心及各個子系統建立會話，用戶與sso認證中心建立的會話稱為全局會話，用戶與各個子系統建立的會話稱為局部會話，局部會話建立之后，用戶訪問子系統受保護資源將不再通過sso認證中心，全局會話與局部會話有如下約束關系

局部會話存在，全局會話一定存在

全局會話存在，局部會話不一定存在

全局會話銷毀，局部會話必須銷毀

你可以通過博客園、百度、csdn、淘寶等網站的登錄過程加深對單點登錄的理解，注意觀察登錄過程中的跳轉url與參數

2、注銷

單點登錄自然也要單點注銷，在一個子系統中注銷，所有子系統的會話都將被銷毀，用下面的圖來說明

3、sso 認證

so認證中心一直監聽全局會話的狀態，一旦全局會話銷毀，監聽器將通知所有注冊系統執行注銷操作

下面對上圖簡要說明

用戶向系統1發起注銷請求

系統1根據用戶與系統1建立的會話id拿到令牌，向sso認證中心發起注銷請求

sso認證中心校驗令牌有效，銷毀全局會話，同時取出所有用此令牌注冊的系統地址

sso認證中心向所有注冊系統發起注銷請求

各注冊系統接收sso認證中心的注銷請求，銷毀局部會話

sso認證中心引導用戶至登錄頁面

四、部署圖

單點登錄涉及sso認證中心與眾子系統，子系統與sso認證中心需要通信以交換令牌、校驗令牌及發起注銷請求，因而子系統必須集成sso的客戶端，sso認證中心則是sso服務端，整個單點登錄過程實質是sso客戶端與服務端通信的過程，用下圖描述：

sso認證中心與sso客戶端通信方式有多種，這里以簡單好用的httpClient為例，web service、rpc、restful api都行

上述就是小編為大家分享的利用SSO實現單登錄系統的原理是什么了，如果剛好有類似的疑惑，不妨參照上述分析進行理解。如果想知道更多相關知識，歡迎關注創新互聯行業資訊頻道。

文章題目：利用SSO實現單登錄系統的原理是什么-創新互聯
標題路徑：http://m.kartarina.com/article18/ccgidp.html

成都網站建設公司_創新互聯，為您提供網頁設計公司、虛擬主機、軟件開發、App開發、搜索引擎優化、網站設計

廣告

聲明：本網站發布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創新互聯