单点登录(SSO)

最新推荐文章于 2026-04-22 05:12:37 发布
转载 最新推荐文章于 2026-04-22 05:12:37 发布 · 438 阅读 · 0
标签
#java #session #cookie #sso #单点登录

目录

 

1.背景

 2.普通登陆的认证机制

 3.同域下单点登录

 4.不同域下的单点登录

5.总结

1.背景

在互联网发展远不如今天迅速的初期,每个企业使用的系统就一两个。每个系统都有自己的登录模块,运营人员每天使用自己的账号登录,很方便。但随着企业的发展,每天要用到的系统越来越多,登陆起来也变得不是很方便。有需要便有技术,于是想到可不可以在一个系统登录,然后其它系统就不用登陆了,单点登录由此产生了。

单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。

 

 如图所示,图中有四个系统,Application1,Application2,Application3和SSO。Application1,Application2,Application3只有业务模块,没有登录模块,而SSO只是登录模块,没有业务模块。当用户需要登录时,不管访问那个系统,都会跳转到SSO系统登录,用户在SSO系统完成登录,其他系统也就登录成功了。这就是单点登录。

 2.普通登陆的认证机制

在学习单点登录之前,先来看一看普通登录的实现机制

 当你在浏览器访问一个应用时,该应用需要登录,你在其登陆页面输入用户名密码进行登录。完成登录验证后,请求发送给服务器。服务器将该用户登录状态标记为yes,保存在Session中,并返回给客户端Cookie,Cookie是该客户端的唯一标识。下次客户端访问时,请求中带上Cookie,浏览器会根据Cookie找到对应的Session,通过Session来判断该用户是否登录。

 3.同域下单点登录

一般一个企业只有一个域名,通过二级域名区分不同的系统。比如有一个企业的域名为yc.com,他们有两个业务系统域名分别为app1.yc.com和app2.yc.com,现在要实现单点登录。需要一个域名为sso.yc.com的登录系统。

我们要实现在sso.yc.com登录,则app1.yc.com和app2.yc.com也登陆。通过上边的认证机制我们知道,当sso.yc.com登录后,会在sso.yc.com系统的服务器的Session中记录了登录状态,同时也会写入sso.yc.com的客户端的Cookie中。那么如何让app1.yc.com和app2.yc.com实现登录呢?这里有两个问题:

  • Cookie是不能跨域的,sso.yc.com的domain属性是sso.yc.com,app1.yc.com和app2.yc.com发送请求的时候是带不上的。
  • sso,app1,app2是不同的应用,他们的Session存在自己的内存中,不是共享的。

针对以上两个问题。第一个问题,将Cookie的域设置为顶域yc.com。这样所有子域都能访问顶域的Cookie了。(我们在设置Cookie的时候只能设置为自己的域或者顶域)。

Cookie的问题解决了,接下来我们来解决Session。在sso登录后,再访问app1,服务器返回的Cookie也被带到了app1。为了使app1的服务器能根据app1发送过来的Cookie找到对应的Session,我们应该将三个应用的Session共享。共享的方法有很多,比如Spring-Session,这个可以参考我的另一篇博客

 4.不同域下的单点登录

同域下的单点登录巧用了Cookie顶域的属性,但不同域下的该如何解决。不同域间的Cookie是不共享的,又该如何?

这里我们就要说一说CAS流程了,这个流程是单点登录的标准流程。

上图是CAS官网的标准流程,具体流程如下:

  1. 用户访问app1,app1系统需要登录,但目前没有登录。
  2. 会跳转到CAS Server,就是我们刚刚说的登陆系统SSO(下文统一将CAS Server称为SSO)。由于SSO也没有登录,因此弹出登录界面。
  3. 用户填写用户名和密码,SSO系统经过验证后,在SSO服务器端的Session中写下登录状态,客户端写入SSO域下的Cookie中。
  4. SSO系统登录完成后会生成一个ST(Service Ticket),然后跳转到app1系统,并将ST作为参数传递过去。
  5. app1系统拿到ST后,向SSO系统发送验证,判断ST是否有效。(该步骤的验证很重要:如果SSO系统没有登录,而是直接伪造登录信息,那app系统也判断该用户已登录,就绕过了SSO登陆系统成功登录上了app1)
  6. 验证成功后,app1系统将登录状态写入Session并设置app1域下的Cookie。

至此,单点登陆系统就完成了,当我们在此访问app系统时,他就是登录状态。下面我们接着访问app2系统时,具体流程如下:

  1. 用户访问app2,app2需要登录,跳转到SSO系统。
  2. 当前SSO系统已经登录,不需要重新登录认证。
  3. SSO系统生成ST,跳转到app2,将ST作为参数传递过去。
  4. app2系统拿到ST后,向SSO发送验证,判断ST是否有效。
  5. 验证成功后,app2系统将登陆状态写入Session,并在app2下写入Cookie。

这样,app2不需要走登录流程就已经是登录状态。SSO,app1,app2在不同的域,它们之间的Session也没有共享,完全没问题。

5.总结

 

 

 

  • 单点登录(SSO系统)是保障各业务系统的用户资源的安全 。
  • 各个业务系统获得的信息是,这个用户能不能访问我的资源。
  • 单点登录,资源都在各个业务系统这边,不在SSO那一方。 用户在给SSO服务器提供了用户名密码后,作为业务系统并不知道这件事。 SSO随便给业务系统一个ST,那么业务系统是不能确定这个ST是用户伪造的,还是真的有效,所以要拿着这个ST去SSO服务器再问一下,这个用户给我的ST是否有效,是有效的我才能让这个用户访问。

原文地址:单点登录(SSO)看这一篇就够了

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

应用整合中SSO的技术实现(ZZ)
星云的工作间
03-19 3977
在税务行业信息化发展的关键阶段,应用整合已经非常重要,而应用整合的表现层首先要实现的就是单点登陆(SSO,Single sign-on的缩写),以下是笔者结合南京地税进行应用整合中SSO的技术实现 。南京地税目前有多种企业应用,包括征管系
本地前后端联调跳过cas sso单点登录
lgq2016的博客
04-25 3998
很多项目集成cas单点登录系统,在本地开发联调的时候,往往会遇到单点登录的拦截,这会影响到我们正常的联调。我们客户端和服务通信的身份信息存储在浏览器cookie里面,那么处理方式非常简单。我们只要想办法获取cookie并在浏览器application中手动增加cookieName=value即可。当前端下次再去请求后端接口,因为有cookie,服务器会查询到对应的session,就会认为客户端已经登录了。 注意: 1.不管session存在服务器或者redis中都要保证手动拿到的sessionId(
从Python切换到CAPL有点懵?字符串和数字互转,这份对比指南帮你快速上手
最新发布
weixin_33696106的博客
04-22 343
本文为Python开发者提供了从Python切换到CAPL语言时字符串与数字转换的详细对比指南。通过对比Python和CAPL在类型转换、错误处理、内存管理等方面的差异,帮助开发者快速适应CAPL的显式转换风格,并掌握在Vector工具链中高效处理数据转换的技巧。
五种不寻常的身份验证绕过技术
2401_84488651的博客
05-29 3423
就在过期之前,应用程序在终端/refresh/tokenlogin中向后端服务器发送了一个请求,该请求在标头和HTTP主体部分的用户名参数中包含有效的身份验证令牌。复杂的身份验证机制可能成为攻击者使用的最具隐蔽性的攻击手段,特别是在容易出现业务逻辑漏洞的应用程序上。进一步的测试表明,删除请求上的Authorization标头并更改HTTP主体上的用户名参数将为提供的用户名创建一个新的有效令牌。乍一看,它似乎是安全的,但对后端请求的分析显示,应用程序在重定向响应上返回了异常大的内容长度(超过40000字节)
SSO CAS记住密码免登陆信息配置
qq_34125349的博客
05-12 2663
                    SSO CAS记录密码免登陆操作        该篇博文转自https://www.imooc.com/article/3729    登录时,为了提高用户体验,在登录时,可以选择是否记住密码,从而使再次登录时无需输入密码,及记住密码操作,CAS 本身就提供了这种记住密码的操作,具体配置信息如下:    记住密码也是我们登录常提供的功能,CAS本身已经提供。...
SSO 单点登录
qq_33807380的博客
10-31 1017
单点登录SSO)在微服务架构中是一个核心概念,它允许用户在一个应用中登录后,无需再次登录即可访问其他相互信任的应用。在微服务架构中,由于系统被拆分成多个独立的服务,如果用户每访问一个服务都要登录一次,那对用户的体验太不友好,而单点登录就是为了解决这个问题而生。简而言之,单点登录其本质就是多个系统之间的会话共享。
单点登录SSO
热门推荐
qq_41913971的博客
01-26 2万+
什么是单点登录单点登录的来源 单点登录技术实现 Cookie的属性详细介绍 Koa Cookie 的设置与获取 利用Node.js koa异步中间件——用户登录验证拦截器
SSO单点登录原理
SuZhan0711
02-11 1万+
目录一、cookiesession二、普通的登录认证机制三、什么是SSO?四、SSO的优点五、不同场景下的单点登录5.1 同域的 SSO5.2 跨域的 SSOSSO的具体流程(以下步骤与图中的步骤一致) 一、cookiesession 在了解SSO之前,我们先了解以下知识:「cookiesession」 具体看这篇介绍---- 「cookiesession 介绍 」 二、普通的登录认证机制 普通登录认证机制的过程: 用户访问一个系统,这个系统需要登录,于是向后台服务器发送登录请求; 数据库中根
基于redis单点登录SSO 单点登录SSO CAS
H_sen's Blog
02-19 3070
查看传统的的登录方式 大家可以看到最后的用户信息 是存储到 session 中的。 现在有一个致命的问题 服务器中的session不是共享的,如果我们的项目的量级很大需要分布式服务器,那么就需要用户高频率的操作登录功能。这对于用户体验来说是残忍的,也是致命的。 传统登录问题: session默认是存储在当前服务器的内存中,如果是集群,那么只有登录那台机器的内存中才有这个session 比如说我...
单点登录SSO
ylm1205625299的博客
10-23 2369
单点登录的概念以及一些实现方法
SpringCloud入门 —— SSO 单点登录
pingguocu3的博客
06-16 1597
本文适合初学者,如有不足或错误之处,还请大家在下方留言指正。单点登录SSO (Single Sign On) 是指在一个多系统共存的环境下,用户在一处登录后,就不用在其他系统中登录,也就是用户的一次登录能得到其他所有系统的信任。
Zabbix SAML SSO 登录绕过漏洞(CVE-2022-23131)
江左盟的博客
02-25 1万+
产品简介 Zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。zabbix能监视各种网络参数,保证服务器系统的安全运营;并提供灵活的通知机制以让系统管理员快速定位/解决存在的各种问题。zabbix由2部分构成,zabbix server与可选组件zabbix agent。zabbix server可以通过SNMP,zabbix agent,ping,端口监视等方法提供对远程服务器/网络状态的监视,数据收集等功能,它可以运行在Linux,Solaris,HP-UX,AI
web安全漏洞——身份验证绕过
m0_61506558的博客
10-11 5809
身份验证绕过是现代web应用程序中普遍存在的问题,但这类漏洞不容易发现。尽管单点登录(SSO)等工具通常是对旧的登录用户方式的改进,但仍然可能包含严重的漏洞。无论是业务逻辑漏洞还是其他软件缺陷,都需要敏锐的眼光来审视。0x01 刷新令牌接口的配置错误在这个漏洞中,用户一旦使用有效凭证登录到应用程序,它就会创建一个在应用程序其他地方使用的承载身份验证令牌。该认证令牌在一段时间后过期。就在过期之前,应用程序从接口。
spring security单点登录跳过密码验证
weixin_43082983的博客
10-27 1万+
spring security单点登录跳过密码验证
CAS增加免登陆(Remember Me)功能
weixin_34192816的博客
08-06 307
2019独角兽企业重金招聘Python工程师标准>>> ...
单点登录sso
m19890919的博客
08-08 434
SSO(Single Sign On)单点登录sso是解决多系统间登录问题,用户一次登录能得到其他系统的信任,实现免登功能。根据实现方式又分成同域、跨域、Oauth授权方式。1.sso单点登录流程图 2.客户端接入方式 基于filter方式接入,重定向到sso 服务端登录,登录成功后,sso服务端带着 token ticket 重定向到客户端,客户端在请求sso服务端用户信息生成cookie
Domino SSO免密登录
weijia3624的专栏
04-06 8289
最近在使用shiro可以免密登录,还是方便与其它web应用集成的。同样Domino也要与其它第三方集成,如微信、钉钉、集成企业应用等。Domino自带的LtpaToken是实现相当安全、便捷实现SSO功能。通过几篇文章综合分析实现,可参考。SSO配置实例、Domino单点登录、剖析LtpaToken。 以下是测试的几张图片,可以参考交流: func...
自己动手写SSO单点登录
xqhys的博客
03-20 1970
工程说明 SSO的实现一般是会有一个SSO Server,也会叫认证中心,同时也会有被认证的系统,如OA系统、采购系统等,他们就相当于SSO Server的client。   为了更形象体现SSO,我写的SSO是有三个工程:一个SSO Server端口为8081,一个OA系统端口为8082,一个采购系统端口为8083。如图:     流程介绍 在整个SSO流程当,有两个流程非常重要,第
SSO单点登录和OAuth2.0的区别和理解
cristianoxm的博客
03-24 1万+
一、概述 SSO是Single Sign On的缩写,OAuth是Open Authority的缩写,这两者都是使用令牌的方式来代替用户密码访问应用。流程上来说他们非常相似,但概念上又十分不同。SSO大家应该比较熟悉,它将登录认证和业务系统分离,使用独立的登录中心,实现了在登录中心登录后,所有相关的业务系统都能免登录访问资源。OAuth2.0原理可能比较陌生,但平时用的却很多,比如访问某网站想留言又不想注册时使用了微信授权。以上两者,你在业务系统中都没有账号和密码,账号密码是存放在登录中心或微信服务器中的,
单点登录的几种实现方式探讨
玖涯博客
03-09 1865
单点登录(Single Sign On),简称为 SSO,是解决企业内部的一系列产品登录问题的方案。SSO 的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统,用于减少用户重复的登录操作,提升用户体验。从技术层面上讲,单点登录目前有多种实现方案,本文从博主个人的理解出发,比较这几种不同方案的优劣和适用场景。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值