1.什么是单点登录
如何只需输入一个平台上的账号密码,登陆后再进入其他平台不用再次输入账号密码也能自动登陆。这就是单点登录。
2.实现单点登录的三种方式:
2.1 使用cookie,记录登录的数据,并且进行加密,通常我们用到的sha加密,不可逆的,密文泄露也无法还原过来,还有就是我们的MD5加密。但是cookie 本身不够安全,存放在浏览器这一端;第二是无法跨域访问使用同一个cookie ,需要设置顶级域名,才能有效。 第三,是各应用系统使用的技术(至少是web服务器)要相同,不然cookie的key值(tomcat为JSESSIONID)不同,第四,无法维持会话,共享cookie的方式是无法实现跨语言技术平台登录的,比如java、php、.net系统之间;
2.2 SSO认证授权登录
上一种方法有很大的局限性,如果跨域名,就实现不了,这里我们可以借助第三方授权来实现。要实现多个平台单点登录,前提是多个平台必须要有一个唯一的账号,如手机号,邮箱,或用户名,这样才可以判断出是哪个用户。
SSO认证授权登录的具体实现思路是这样的:假如公司有两个不同域名或IP下的管理网站,a.com,b.com,我们想要输入用户名和密码登录a.com, 即可自动登录b.com,怎么实现呢?
登录a.com后会在a平台产生会话信息,如果我们登录b.com,怎么判断该用户已经登录a平台了,然后自己登录?这里我们需要借助第三方平台来做授权验证,即c.com,该授权中心维护一套共有的账号和密码,当用户访问 a.com 后,我们会跳转到 c.com,并带上a.com 这个来源访问地址,在c.com 中判断是否有登录,如果未登录,则给出登录界面,登录成功后,则产生会话信息,同时生成一个授权Token,保存在c.com cookie 中,然后返回给原地址,如果已经登录(即已经授权过了),则拿到cookie中保存的Token信息然后回跳到原来的访问地址,a.com 判断有Token信息,则拿着这个Token发送http请求到c.com,判断该Token是否有效,如果有效,则返回给用户信息,然后a.com拿到信息后,自动登录a.com。
当访问 b.com 时,也会去 c.com 中判断是否已经授权过了,因为a.com 已经授过权了,则会给b.com 返回授权Token,然后b.com 判断该Token是否有效,如果有效,则会返回给用户信息,b.com 自动登录,这就是单点登录的一个简单的流程。
2.3.通过重定向实现
最后一种介绍的方式,是通过父应用和子应用来回重定向中进行通信,实现信息的安全传递。父应用提供一个GET方式的登录接口,用户通过子应用重定向连接的方式访问这个接口,如果用户还没有登录,则返回一个的登录页面,用户输入账号密码进行登录。如果用户已经登录了,则生成加密的Token,并且重定向到子应用提供的验证Token的接口,通过解密和校验之后,子应用登录当前用户。