登录那些事(一):用简单的话来讲讲SSO单点登录

发布时间:『 2020-05-20 20:21:39 』  博客类别:系统设计  阅读(-1)

传统的登录模式

每一个系统都做一套登录功能,登录了A系统之后,如果想要使用B系统,那么需要再登录一次,即使两个系统的账号是一致的。

假设一个企业有A B两个系统,那么用户登录这两个系统需要两个cookie来保存两个系统的登录信息。

这样做的好处是开发方便,在单机的情况下直接使用session和cookie即可完成一个这样的登录设计。缺点就是用户使用不同的系统,需要多次登录,体验不够好。

改进版本——同域下的单点登录的设计

一般来说,同一个企业的系统所采用的一级域名是都是相同的,比如a.xxx.com,b.xxx.com。我们可以在登录的时候把cookie设置为一级域名级别,即xxx.com。这样子的话a.xxx.com和b.xxx.com两个系统都可以访问到同一个cookie信息,那么在后端实现了session共享的情况下,即可实现一个系统登录,可以让另外一个系统免登陆。

实现session共享可以参考之前的文章:SpringBoot+Redis实现session共享

当然这种方案并不好,因为往往很多系统一级域名都是不相同的,比如某宝和某猫。

改进方案——单点登录系统

同域下的单点登录可以简单利用Cookie和session来解决,但是很多时候系统之间是不同一级域名的。不同域之间Cookie是不共享的,怎么办?这里我们就要说一说CAS流程了,这个流程是单点登录的标准流程。

先来看一个CAS的流程图:

相信这个图看起来很费经,其实CAS流程并不复杂:

1、用户访问A系统,A系统需要登录,检测到用户没有进行登录,那么就重定向用户到CAS系统。

2、用户到了CAS系统之后,发现用户也没在CAS上的登录过,那么则跳转到登录界面。

3、用户登录CAS系统后,将登录状态写入CAS的session中,浏览器中写入CAS域下的cookie。

4、CAS系统登录完成后会给用户生成一个Service Ticket(ST),此时CAS系统会把用户重定向到系统A上,把ST发送给A系统。

5、A系统接收到ST之后,会去CAS服务上进行验证是否有效。

6、验证通过后把用户的登录状态写入A系统的session,并且在A的域下写入cookie。

经过上面的步骤,用户已经在A系统完成了登录。

如果此时用户继续访问系统B,那么流程如下:

1、用户访问B系统,没有登录,则跳转到CAS系统。

2、CAS系统检测到用户登录成功了,不需要用户再次登录,直接生成ST,把用户重定向回B系统,把ST发送给B系统。

3、B系统接收到ST之后,会去CAS服务上进行验证是否有效。

4、验证通过后把用户的登录状态写入B系统的session,并且在B的域下写入cookie。

此时已经完成了B系统的验证过程。

总结

单点登录(SSO)的流程基本就是这样,原理相信大家都能够理解。所谓的单点登录,就是让用户在一个地方(CAS)统一进行登录,然后各个业务系统接入CAS完成用户登录状态的管理。这里只是做个简单介绍,后续会写写demo来真正实现单点登录功能。

Happyjava原创,转载请注明出处!


上一篇:登录那些事(二):SpringBoot+MybatisPlus实现CAS单点登录demo(源码下载)

下一篇:回顾下大学到现在的经历:杭州 深圳 杭州 广州


Happyjava的博客

何以解忧?唯有定投!可以是定期投资,也可以是定期学习,不冲突!

个人QQ号: 「1015030682」

联系邮箱: 「happyjava@foxmail.com」

备案号:浙ICP备17032647号-3