前些天一位其他开发部门的同事找到我们了解一些关于SSO单点登录的事,他们要做单点登录,同时也需要和我们这边的系统做集成,要我帮忙做一单点登录,了解关于单点登录的解决方案和资料,虽然做单点登录已经很久了,自以为对SSO系统也算比较了解。但是被他这么一问,反倒是一下讲不清楚,所以总结一下目前正在使用的SSO 解决方案的实现原理,也算是真正的再一次学习SSO 吧。
首先,单点登陆(SSO) 是为了一次登陆,就能在其他各子系统获得访问权限,无需用户再输入用户名和密码,所以一般会使用集中验证方式,多个站点集中SSO验证。如下图所示:
所以,通过上图,可以看出,当访问主站是,会请求SSO 进行身份验证,SSO系统验证成功后,会给主站返回一个令牌,这样在主站(OA)访问其他子系统的时候,带上令牌,这样就实现了单点登录,无需再验证用户名和密码。
下面说说SSO 系统单点登录的验证过程:
当用户访问应用系统是,会验证session 是否存在,如果session存在,则直接进入系统,如果session 不存在,说明用户未登陆该系统,然后验证用户的主系统是否登陆,是否有令牌,如果有令牌则验证令牌是否有效,如果令牌合法,那么进入该应用系统,反之则需要重新登陆,生成令牌。
注:这里的令牌,是通过加密的cookie传输的,由SSO系统颁发可在各分站中流通的标识。
令牌是由SSO系统颁发,系统接收到令牌之后,生成会话(Session)。 令牌通过Cookies的方式在各跨域分站中进行流通,所以SSO生成的令牌放在Cookie中返回给各个系统,并指定Cookie.Domain="oa.com"。
由于令牌是通过cookie 流通,所以各业务子系统都需要在oa.com这个域下,否者会接收不到SSO产生的令牌。其次是需要增加一个SysAdapter.aspx 中间页,用于令牌的获取和验证。