单点登录最全详解，建议收藏！

单点登录（SSO）的核心在于：集中式的认证服务器（如 ：CAS Server）管理用户身份，并通过票据机制在不同应用之间共享认证信息。

单点登录

单点登录全程是 Single Sign On，简称 ”SSO“，是一种认证机制，通过一次性验证用户身份，提供对多个系统的访问。

举一个例子，比如：阿里集团有多个网站，比如：淘宝、天猫........等等，如下图所示：

图片

单点登录，就在淘宝、天猫、聚划算...等的最外面，也就是说用户登录任何一个系统，剩余系统都可以登录。

也就说：只需一次登录便，可访问所有这些系统，而无需在每个系统中重复登录。

所以，单点登录(SSO)， 极大地简化了用户的认证过程，提升了用户体验。

而且，通过统一的身份认证，可以更好地控制、和审计用户的访问行为，减少密码泄露的风险。

单点登录实现原理

从上面知道了单点登录的价值，下面如果是你，你应该怎么来"实现单点登录呢"？

单点登录实现，如下图所示：

单点登录通常通过，以下步骤来实现：

Step 1: 用户访问应用 A

比如：用户尝试访问系统、或应用 A。

比如：用户试图访问受保护资源，（例如:https://app.mikechen.cc/dashboard），该资源要求用户进行身份验证。

Step 2: 重定向到认证服务器

应用 A 检查用户是否已登录，如果没有登录，应用 A 会将用户重定向到， SSO 认证服务器。

比如：CAS 客户端，会将用户的浏览器重定向到 CAS 服务器的登录 URL。

比如：https://cas.mikechen.cc/login?service=https://app.mikechen.cc/dashboard。

如下图所示：

然后，用户认证

CAS 服务器接受用户的登录请求，验证用户的身份信息（如:用户名、和密码）。

如果验证成功，”SSO 服务器“，生成一个用于标识该用户的令牌（Token）。

然后，分发令牌

如果，认证成功后，SSO 服务器会将令牌返回给应用 A。

比如：CAS 服务器，会生成一个 Service Ticket（ST），这是一个一次性使用的票据，用于 CAS 客户端向 CAS 服务器验证用户身份。

应用 A 接收到令牌后，创建会话并允许用户访问资源。

最后，用户在多个系统间切换

这个时候，当用户尝试访问系统、或应用 B 时，应用 B 会向 SSO 服务器验证用户身份。

如果用户已经在 SSO 服务器登录，SSO 服务器会直接返回有效的令牌，无需再次输入凭证。

最后，用户在 SSO 系统内的多个应用之间切换时，只需要一次登录，后续访问都会自动通过。

单点登录实现挑战

单点故障

认证中心成为关键点，如果它出现问题，所有系统的认证流程都会受影响。

比如：在 SSO 系统中，认证中心（如 CAS 服务器）是所有用户认证的关键组件。

如果认证中心出现故障，所有依赖它的应用系统将无法完成用户认证，导致系统的访问中断。

比如：可以通过负载均衡器，将用户请求分发到多个 CAS 服务器实例。

这样，即使一个 CAS 服务器出现故障，负载均衡器可以将请求转发到其他健康的服务器。

复杂性

实现和维护 SSO 系统比普通认证系统复杂，涉及的协议和安全性要求较高。

比如：实现和维护 SSO 系统比普通的认证系统复杂，涉及多个协议和安全性要求、

例如：CAS、OAuth2.0、SAML...等，每种协议有其独特的配置要求和实现细节，增加了系统的复杂性。

跨域问题

不同域名之间的 SSO 需要处理跨域通信问题，比如：通过 CORS 设置、或使用 OAuth 的授权码模式。

单点登录应用

单点登录适用于多种场景，常见的应用场景包括：

企业内部系统

企业通常拥有多个业务系统，如：人力资源系统、财务系统、邮件系统...等。

通过 SSO，员工可以通过一次登录访问所有这些系统，提高工作效率。

在线服务平台

互联网公司往往提供多个在线服务，如：邮件、云存储、社交网络...等。

通过 SSO，用户只需一次登录即可访问所有服务，提供无缝体验。

电子商务系统

比如：上面我提到的，阿里包含：淘宝、天猫...等等系统，通过 SSO，用户可以通过一个账号访问所有这些服务。

总之，单点登录（SSO）是一种解决多系统认证问题的有效机制，通过一次登录让用户无缝访问多个系统。

单点登录（SSO）的核心在于：集中式的认证服务器（如 ：CAS Server）管理用户身份，并通过票据机制在不同应用之间共享认证信息。