企业官网建设流程全解析

免费下载网站软件,网络工程和软件工程的区别,广东新闻联播主持人名单,博客论坛网站开发SO 其实是一套高度依赖中央授权服务器#xff08;IdP#xff09;的登录方案。SSO的定义SSO是一种身份验证机制#xff0c;用户只需要使用一套凭据#xff08;比如用户名和密码#xff09;登录一次#xff0c;就可以访问多个相互信任的应用程序或系统#xff0c;而无需在…SO 其实是一套高度依赖中央授权服务器IdP的登录方案。SSO的定义SSO是一种身份验证机制用户只需要使用一套凭据比如用户名和密码登录一次就可以访问多个相互信任的应用程序或系统而无需在每个应用中重新登录。下文分析SSO如何达成这个目标。SSO中的角色存储Cookie全局通用存储Cookie存储Cookie存储Cookie用户用户代理/浏览器服务提供者 A服务提供者 B服务提供者 C身份提供者目录服务用户User身份需要访问应用程序的最终用户职责- 提供身份凭证用户名/密码等- 发起认证请求- 管理个人会话特点用户只需记住一套凭证与IdP进行一次交互服务提供者Service Provider, SP身份具体的应用程序或服务如CRM系统、邮箱、内部网站等职责- 保护资源要求认证后才能访问- 识别未认证的用户并将其重定向到IdP- 验证从IdP收到的认证断言/令牌- 管理本地应用会话特点SP本身不验证用户密码完全信任IdP的认证结果在 SSO 架构中所有应用Service Providers, SPs都放弃了自主验证用户身份的权限转而无条件地信任 IdP 做出的认证决定。如何保障信任关系每个 SP 都预先在 IdP 那里“注册”了自己双方约定好了加密密钥、证书和通信协议。没有这个预先建立的信任SSO 无法工作。身份提供者Identity Provider, IdPIdP 是整个SSO系统中唯一知道用户是谁、密码是什么、用户是否已登录的组件。它是所有身份信息的“唯一真相来源”。身份中央认证服务器SSO体系的核心职责存储和管理用户身份信息验证用户提交的凭证创建和管理全局会话生成安全的认证令牌/断言响应SP的认证验证请求特点所有SP都信任IdPIdP是唯一真相来源用户代理User Agent身份通常是Web浏览器也可以是移动App等客户端职责在用户、SP和IdP之间传递请求和响应存储和管理CookieIdP的全局会话Cookie和各SP的本地会话Cookie处理HTTP重定向特点是实现SSO流程的一个工具载体。目录服务Directory Service- 该角色可选身份用户信息的存储后端可选但常见职责存储用户身份数据如Active Directory、LDAP、数据库为IdP提供用户凭证验证服务特点在实际企业部署中IdP通常与目录服务集成和OAuth协议的区别SSO和OAuth经常被一起提及也常常被混淆但它们解决的是两个完全不同的问题只能说稍微有点相关性但还是需要认真辨别出区别。简单来说SSO单点登录是一个身份验证方案。它解决的是“你是谁”的问题让你用一套密码可以登录多个系统。OAuth 2.0是一个授权方案。它解决的是“这个应用能否访问我的特定数据”的问题让你在不分享密码的情况下授权第三方应用访问你的资源。多应用间的登录流程应用B (SP)认证中心 (IdP)应用A (SP)用户浏览器应用B (SP)认证中心 (IdP)应用A (SP)用户浏览器第一阶段用户首次访问应用A此时浏览器与IdP建立会话第二阶段用户访问应用B关键步骤浏览器与IdP的会话仍然有效1. 访问应用A2. 发现未登录重定向到IdP携带回调地址3. 访问IdP登录页4. 返回登录页面5. 提交用户名/密码6. 验证凭证创建全局会话7. 重定向回应用A携带令牌/Ticket8. 带着令牌访问应用A9. 应用A与IdP后台通信验证令牌10. 返回用户信息验证成功11. 创建本地会话返回受保护资源12. 访问应用B13. 发现未登录重定向到IdP携带回调地址14. 访问IdP浏览器自动携带IdP会话Cookie15. 发现已有全局会话用户已登录16. 立即重定向回应用B携带新的令牌/Ticket17. 带着新令牌访问应用B18. 应用B与IdP后台通信验证新令牌19. 返回用户信息验证成功20. 创建本地会话返回受保护资源完整的“创建全局会话”包含两个相互关联的动作服务器端IdP侧 在IdP的服务器上例如在内存、Redis或数据库中创建一个会话记录。客户端浏览器侧 在用户的浏览器中设置一个属于IdP域名的Cookie其值通常就是这个服务器端会话记录的ID。