本文目录
- 单点登录原理
- 单点登录 是什么
- 单点登录是什么意思
- 谈谈单点登录
- 单点登录的三种方式
- 单点登录有哪些实现方式
- 请问单点登录系统有什么作用
- 单点登录是什么如何实现
- 想在企业微信上实现单点登录怎么做
- 单点登录是如何实现的2020年哪家公司的单点登录做的比较好
单点登录原理
单点登录是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统的保护资源,若用户在某个应用系统中进行注销登录,所有的应用系统都不能再直接访问保护资源,像一些知名的大型网站,如:淘宝与天猫、新浪微博与新浪博客等都用到了这个技术。 原理 单点登录 有一个独立的认证中心,只有认证中心才能接受用户的用户名和密码等信息进行认证,其他系统不提供登录入口,只接受认证中心的间接授权。
单点登录 是什么
首先单点登录,适合有多个系统的场景,比如现在有OA系统、门户系统、人力资源管理系统、档案管理系统、生产管理系统、xx系统等,这么多个系统在一个公司里面,如果一个用户需要使用这么多个系统,那每天都要登录N多系统,太浪费时间了(其他还有统一用户、统一权限的问题,这里先不谈这个)所以单点登录就是,如果用户在门户系统登录了,那么他打开OA系统、生产管理系统的时候就不用再登录了,因为他已经在门户系统登录过一次这就是单点登录,单点登录的字面意思就是在一个地方登录,其他系统就不用再登录了。具体的实现可以百度一下,如果有不清楚的我再补充
单点登录是什么意思
单点登录是指用户只需要登录一次就可以访问所有相互信任的应用系统。
单点登录其中有一个非常关键的步骤,这个步骤与服务器端验证令牌方式无关,用最早的共享会话方式或当前的令牌方式,标识到浏览器端。用户登录成功后,浏览器如何在其他域名中存储和共享令牌相同的域名非常简单。
令牌存储在cookie中路径设置在顶级域名下,以便所有子域都可以读取cookie中的令牌。这就是分享网络的方式。通常,运营和维护内部控制审计系统和4A系统都包含这一功能。其目的是简化账户登录流程,保护账户和密码的安全,统一管理账户。
扩展资料
单点登录可以提高用户效率。用户不再为多次登录而烦恼,也不需要记住多次ID和密码。此外,用户会忘记自己的密码,很少求助于支持人员。提高开发人员的效率为开发人员提供了一个通用的身份验证框架。
事实上,如果机制是独立的,开发人员根本不需要担心身份验证。只要将用户名附加到应用程序的请求中,就可以假定身份验证完成。如果应用程序加入单点登录协议,那么管理用户帐户的负担就会减轻。简化的程度取决于应用程序,因为SSO只处理身份验证。
参考资料来源:百度百科-单点登录
谈谈单点登录
寒假学习的小课题,把之前的笔记整理整理记录一下(长文警告)因为当时看到的东西涉及很多,所以有一些地方没有深入去探讨。 百度百科:单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。 简而言之就是用户在多个相互信任的应用系统中,只需要登录一次,就可以访问其他相互信任的应用系统。这里的关键是一次登录,以及一次退出,都对所有的系统生效。 在普通的登录中,比如典型的B/S情景,浏览器访问服务器,发送登录请求,在发送完用户名和密码之后,服务器会生成该用户的session来标准该用户的状态,比如已登录还是已注销,并给一个cookie给浏览器,因此,用户继续访问就会带上这个cookies,服务端会根据这个Cookie找到对应的session,通过session来判断这个用户的登录状态。比如php中使用phpsessid。当然也可以自定义session的生命周期,session的生命周期过长的话一旦session被盗用就会出现用户被窃取的情况。同时,生命周期过长的session配置会占用较多的服务器资源。 单点登录主要针对同平台下多应用,多系统的情景下多次登录的一种解决方案。单点登录相当于将多个应用的认证体系联通。 假设现在一个平台上有3个都带有登录功能的应用,由上面的普通登录的情况可以想到,这3台服务器都会自己的记录session。那么要想达到单点登录,一个最简单的方法就出现了:共享session。 共享session的方式来实现单点登录是最方便也是最直接的。在三个子系统中,使用同一个额外的记录session的服务器,比如我们可以使用一个redis服务器来存储三个系统的session。 用户登录了应用1,获取了应用1返回的cookies,再次访问应用1的其他功能的候携带了cookie就是已登录的状态了,但是这样又有新的问题,虽然实现了共享session,但是用户登录了应用1,获取了应用1返回的cookie,但是因为cookie是无法跨域的,因此用户无法使用应用1的cookie去访问应用2。这里我们就需要将系统的全局cookie domain的属性设置为顶级域名,比如应用1的域名是1.test.com,应用2的域名是2.test.com。在普通登录的情况下,应用1的cookie domain的属性是1.test.com,指这个cookie只能在该子域名上被使用。我们将系统的全局cookie domain设置为顶级域名,即.test.com,这样就可以实现用户登录了应用1,之后可以以已登录状态访问应用2和3。 上面的共享session的情况是三个应用都有登录功能,还有一种类似的情况是应用1和应用2都有登录模块和其他模块,还有一个单独的SSO系统,是仅有登录模块的: 共享session的方法虽然简单,但是存在局限性,因为使用了cookie顶域的特性,所以不能做到跨域。一个公司或者一个平台很可能不是所有的域名都在在一个一级域名之下的,所以同域名下的单点登录并不是完整的单点登录。 先说说openid,openid是一种认证标准,规定如何认证的标准!即其关注的是登录时身份的认证。官方给出的一个场景,其中一方是一个openid身份服务器,用来存放注册好的openid账号,另一方是受这个openid身份服务器信赖的服务或应用。openid协议就是提供openid身份服务器和被信赖的服务或应用之间的通信的。比如我们在很多网站上可以使用QQ登录,这里的腾讯的QQ就是openid的身份服务器,我们所要登录的网站就是受信赖的服务或应用。 在使用openid实现单点登录的方法有很多,可以使用上面共享session的方法,即把openid带在cookie里面,但是这样也会出现一样的cookie跨域的问题。 在实际场景中,我们在访问提供服务的应用时检测到未登录就会直接跳转到openid身份服务器,或者没有重定向而是在登录表单附近点击选择使用第三方openid登录,进行账号密码登录(这可以保证我们所登录的服务器无法获取我们的敏感身份认证信息),具体流程如下:CAS全称为Central Authentication Service即中央认证服务,是一个企业多语言单点登录的解决方案,并努力去成为一个身份验证和授权需求的综合平台。CAS就是一个现成的单点登录的demo,企业只需要简单修改就可使用。 CAS支持各种协议,SAML,OAuth,OpenID,OIDC等等,支持LDAP,Radius,JWTX,509等等进行身份认证和授权,还有各种常用语言的客户端,Java,PHP,C# 等等。反正就是一个十分完整的,兼容性特别好的SSO框架。 简单了解CAS是如何实现单点登录的。在官网上可以看到其给出的一个 流程图 ,。这个图说的特别详细,一下就能看懂,直接原图上进行标注查看:学习了上面几种单点登录的知识,结合实际场景可知,跨域单点登录才是真正的单点登录,因为实际情况下很多平台或者域名不可能都在一个一级域名下。在解决跨域单点登录的问题的时候,上面也给说了几种方式,但是究其根本,就是利用一个SSO认证中心来实现认证与授权的。当然,也会有其他的解决跨域单点登录的方案,但是大体流程都与cas类似。 比如在上图的11步骤,也可使用POST包,或者JSONP和iframe方法来跨域发送请求进行重定向。 在利用认证中心来实现单点登录是现在比较普遍的解决方案,那么有没有不需要使用认证中心来解决跨域单点登录的方案呢? 利用JSONP同步登录状态,大概流程流程如下: 在学习单点登录的过程中,在其中认证的过程中授权令牌的传递等相关信息没有特别详细的说明,而且在思考单点登录的时候也会有想过一个比较矛盾的问题:单点登录的目标是为了让用户可以在相互信任的系统中一次登录即可,但是如果真的是做到所有用户都可以访问所有系统,岂不是会带来越权的问题,是否需要对不同的用户以不同的授权,甚至限制访问的应用,但是这样是不是就不是原本狭义的单点认证? 在说单点登录的认证和授权之前,先谈一谈我一直想弄清楚的统一身份认证和单点登录的区别。说起单点登录可能很少听过,但是统一身份认证肯定不陌生,不管是企业还是高校都会有这种统一身份认证的系统。 统一身份认证最重要的一方面就是身份认证,另一方面就是和身份认证相关的授权控制,权限控制。而单点登录是多应用一次登录,也可以叫统一登录,可以理解为主要在认证方面。对于统一身份认证来说会有账号管理,如LDAP,认证管理OAuth,SMAL等,因此我觉得,统一身份认证一般是包括狭义的单点登录,狭义的单点登录,即只需要满足多应用一次登录即可。但是现在的单点登录,SSO系统并不仅仅是要求这些,他的范围正在慢慢扩大。 单点登录的认证和授权,前面说到的CAS实现单点登录里就会看到需要ticket来进行认证,授权。CAS支持多种认证方案,比如OAuth,OpenID,SAML等等,我们可以来比较比较用这些协议的区别,或者说是在哪些场景下使用哪些认证方案较为合适。本身单点登录是没有权限控制的功能的,但是因为这些认证协议的需求,自然支持了权限控制。 在使用SAML进行认证的过程中,可以看到下图,其是基本流程都差不多,这里需要注意的就是在用户在认证中心成功登陆之后,重定向的时候返回的是一个SAML token,一个XML节点,这里的token会包括用户的身份信息,用户名等。 在OAuth3.0的标准中流程是和上面的基本相同,但是OAuth3因为客户端并没有一点是浏览器,所以token中默认是没有签名的。这里可能没有体现出来,OAuth3的目标是授权,所以token更关注的是权限,token在向认证服务器验证的时候就会有不同的授权,但是既然是授权,就间接实现了认证。 在传统的认证中都是基于session机制的,具体的session模式上面也说了,根据其特性可知session的一些确定: https://www.mutuallyhuman.com/blog/choosing-an-sso-strategy-saml-vs-oauth3/ https://yq.aliyun.com/articles/636281 https://juejin.im/post/5d0dbb7e6fb9a07f0420512d
单点登录的三种方式
单点登录 :简称为 SSO,是比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。 简单来说 ,一个公司有多个应用,都要进行注册登录,退出的时候又要一个个退出。用户体验很不好。单点登录可以实现:登录的时候只要一次登录,退出的时候只要一次退出。
采用LocalStorage存储token, 但localStorage不支持跨域,则需要登录一个网页时,需要在本网页在localStorage时,也需要为其他的页面写入相应的token.
扩充
单点登录有哪些实现方式
在不同的场景下,单点登录采用不同的实现方式。应用系统是同一域名下的不同站点时,通常采用验证cookie的方式;应用系统在同一域名下但是数据不同子域时,采用cookie与sessionID相结合的方式;应用系统分属不同域时,采用站点间传递cookie和重定向的方式。北京CA针对不同场景,单点登录方式也不同。
请问单点登录系统有什么作用
单点登录,简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。
优点:
1、提高用户的效率。
用户不再被多次登录困扰,也不需要记住多个 ID 和密码。另外,用户忘记密码并求助于支持人员的情况也会减少。
2、提高开发人员的效率。
SSO 为开发人员提供了一个通用的身份验证框架。实际上,如果 SSO 机制是独立的,那么开发人员就完全不需要为身份验证操心。他们可以假设,只要对应用程序的请求附带一个用户名,身份验证就已经完成了。
3、简化管理。
如果应用程序加入了单点登录协议,管理用户帐号的负担就会减轻。简化的程度取决于应用程序,因为 SSO 只处理身份验证。所以,应用程序可能仍然需要设置用户的属性(比如访问特权)。
通常情况下运维内控审计系统、4A系统都包含此项功能,目的是简化账号登录过程并保护账号和密码安全,对账号进行统一管理。
企业应用集成可以在不同层面上进行:例如在数据存储层面上的“数据大集中”,在传输层面上的“通用数据交换平台”,在应用层面上的“业务流程整合”,和用户界面上的“通用企业门户”等等。事实上,还有一个层面上的集成变得越来越重要,那就是“身份认证”的整合,也就是“单点登录”。
单点登录是什么如何实现
单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。 企业应用集成(EAI)。企业应用集成可以在不同层面上进行:例如在数据存储层面上的“数据大集中”,在传输层面上的“通用数据交换平台”,在应用层面上的“业务流程整合”,和用户界面上的“通用企业门户”等等。事实上,还用一个层面上的集成变得越来越重要,那就是“身份认证”的整合,也就是“单点登录”。 单点登录的技术实现机制:当用户第一次访问应用系统1的时候,因为还没有登录,会被引导到认证系统中进行登录;根据用户提供的登录信息,认证系统进行身份效验,如果通过效验,应该返回给用户一个认证的凭据--ticket;用户再访问别的应用的时候,就会将这个ticket带上,作为自己认证的凭据,应用系统接受到请求之后会把ticket送到认证系统进行效验,检查ticket的合法性。如果通过效验,用户就可以在不用再次登录的情况下访问应用系统2和应用系统3了。 可以看出,要实现SSO,需要以下主要的功能: 所有应用系统共享一个身份认证系统; 所有应用系统能够识别和提取ticket信息; 应用系统能够识别已经登录过的用户,能自动判断当前用户是否登录过,从而完成单点登录的功能。 其中统一的身份认证系统最重要,认证系统的主要功能是将用户的登录信息和用户信息库相比较,对用户进行登录认证;认证成功后,认证系统应该生成统一的认证标志(ticket),返还给用户。另外,认证系统还应该对ticket进行效验,判断其有效性。整个系统可以存在两个以上的认证服务器,这些服务器甚至可以是不同的产品。认证服务器之间要通过标准的通讯协议,互相交换认证信息,就能完成更高级别的单点登录。要实现的话这里有 http://zhidao.baidu.com/question/58372530.html
想在企业微信上实现单点登录怎么做
如果要进行企业微信登录,首先要进行注册,如果是已经有腾讯企业邮箱或微信企业号的话,可以通过本文进行登录。如果是两者都没有的话,可以先进行全新注册,然后等待审核。本文主要针对有腾讯企业邮箱或微信企业号的企业如何登录,详看下文。方法/步骤首先进入企业微信官网,点击右上角的“企业登录”。然后弹出登录二维码,请用准备做管理员的手机微信扫二维码。如果是第一次登录的话,在弹出的窗口会提示注册,使用对应的方式点击进入。进入后弹出确认窗口,用管理员微信扫二维码确认即可。系统会自动拉取公司信息。扫二维码确认后,弹出设置密码界面,此密码将会是企业微信的登录密码,如果要小心保管好。然后点击登录。再次弹出二维码,用管理员手机微信再次扫码。填写管理员名称、手机号等信息,点击注册。系统提示企业注册成功,点击完成。点击完成后,进入到企业微信工作台,登录成功。你可以按照上面的步骤一步一步来,希望可以帮到你,望采纳
单点登录是如何实现的2020年哪家公司的单点登录做的比较好
单点登录的实现具体如下在单个用户进行应用系统登录认证时,单点登录会自动创建一个token认证口令,并与其他需要认证的应用系统进行数据共享,以此来实现只进行一次认证即可登录所有应用系统的目的。浏览器为了保护关键性认证数据会被强制采取”同源策略”,因此当用户登录访问一个域时,并不会被自动登录到其他第三方域。简单地说就是,动态内容(例如,JavaScript或者VBScript)只能读取或者修改与之同源的HTTP应答和Cookies,而不能读取来自不同源的内容。单点登录有效地突破了浏览器“同源策略”的安全性限制,通过在中心域进行用户身份认证生成token,并和其他域用户共享token数据的方式,实现了基于token的统一安全身份认证。因此,在实现单点登录的基础上,当用户登录一个需要认证的域时,他们会被重新定位到其已经登录并认证的中心域,然后再被定位到其目前正请求认证的域。此外,不同的单点登录解决方案所采用的token共享机制也是不一样的,但是玉符科技单点登录都会在确保用户认证数据不被破坏并安全传输的基础上进行。其中,一些常见的单点登录标准协议有OpenID Connect、OAuth、OIDC、CAS等,也有一些企业会采用非标准的单点登录协议来进行认证。目前,不限于2020年,市场上做单点登录的比如 玉符科技IDAAS 平台,是不错的选择。
