单点登录(Single Sign-On,SSO)是一种在分布式、多应用环境中,允许用户通过一次身份验证即可访问所有相互信任的应用系统的统一认证方案。
单点登录系统核心价值
- 统一身份认证:作为所有应用的统一登录入口,集中管理用户身份。
- 降低操作成本:用户只需记住一套凭据,登录一次。
- 集中安全控制:便于实施统一的安全策略,如密码强度、会话管理和风险控制。
- 支撑多端与多系统:无缝支持Web、移动App、小程序等多种前端形态。
单点登录系统核心架构设计
一个典型的SSO系统主要由以下几部分构成,其架构关系如下图所示:
-
SSO 认证中心
作为系统的核心,负责处理统一的登录请求、验证用户凭证(如账号密码)、并签发全局有效的认证凭证(如Ticket或Token)。
-
用户端
用户通过浏览器或移动App访问业务系统,负责携带认证状态(如Cookie或LocalStorage中的Token)。
-
接入层/网关
通常由Nginx或API网关担任,作为统一流量入口,拦截未登录的请求并将其重定向至认证中心。
核心认证流程如下:
用户访问系统A -> 系统A发现未登录 -> 跳转至SSO登录页 -> SSO验证用户身份 -> 生成全局Token/Ticket -> 携带凭证回跳到系统A -> 系统A向认证中心验证凭证有效性 -> 建立本地会话,允许访问
单点登录系统实战案例
案例一:企业内网统一门户(基于SAML协议)
场景:大型企业将OA、HR、CRM等多个内部应用整合到统一门户。
- 优势:协议成熟,安全性高,与企业目录服务(如AD/LDAP)整合性好。
- 关键点:需妥善管理SP(服务提供者)与IdP(身份提供者)之间的证书信任关系以及SAML Assertion的生命周期。
案例二:云服务与开放API生态(基于OIDC + OAuth 2.0)
场景:面向第三方开发者或移动端的开放平台,如使用微服务架构的云产品。
- 流程:移动端App通过OIDC的授权码流程进行交互式登录,获取ID Token和Access Token。后端服务通过验证JWT格式的Access Token来访问受保护的资源API。
- 优势:轻量、标准化,完美支持跨平台应用(Web、原生App),并可通过Scope实现精细化的授权控制。
案例三:单页面应用(SPA)集群与共享会话
场景:多个部署在不同子域名下的单页面应用需要共享登录状态。
- 实现方案:
- Cookie方案:在顶级域名设置安全Cookie,所有子域应用均可读取。通常需要一个中央认证网关来处理登录请求和Cookie的写入。
- Token方案:在统一认证中心登录后,将Token存储在父级域或独立的认证中心前端。子应用通过隐藏的iframe或专门的Token交换端点来获取自己的访问令牌。
- 关键点:重点防范CSRF攻击,并确保Token存储与传输的安全性。这通常涉及对OAuth、JWT等安全协议的深入理解和正确配置。
| 
发表于 前天 15:53
|
查看: 6|
回复: 0
