單登錄（SSO）解釋了

鑰匙要點

• >單登錄（SSO）是一個過程，允許用戶僅在一次身份驗證其身份後訪問多個服務，從而消除了通過密碼或其他系統反复確認身份的需求。
> 在開發與其他服務互動或使用第三方服務時，實施SSO的
• 可以是有益的，因為它可以確保用戶不需要單獨登錄每個服務。
> SSO過程在不同的服務上略有不同，但基本思想保持不變：生成令牌並驗證它。應實施強大的安全措施，例如多因素身份驗證和常規密碼更新，以減輕與SSO相關的風險。
• >

>當您為大眾開發產品時，很少有一個完全獨立的產品與任何其他服務互動。當您使用第三方服務時，用戶身份驗證是一項相對困難的任務，因為不同的應用程序具有不同的機制來驗證用戶。解決此問題的一種方法是通過單個符號或SSO。

>

>單個登錄（SSO）是一個過程，該過程允許用戶在使用用戶身份驗證（即登錄一次）後訪問多個服務。這涉及到登錄主要服務後，用戶已授予所有服務的身份驗證。除其他好處外，SSO避免了通過密碼或其他身份驗證系統一遍又一遍地確認身份的單調任務。

>

>讓我們更詳細地研究SSO，我們將使用非常著名的服務來展示其用途和好處。

身份驗證過程

SSO的基本過程如下：

第一步是登錄主要服務（例如，Facebook或Google）。

>
• >您訪問新服務時，它將您重定向到原始服務（或父）服務，以檢查您是否已登錄到該服務。
>
• >返回一個otp（一次性密碼）令牌。
> 然後，由父級服務器的新服務驗證OTP令牌，只有在成功驗證之後才是用戶授予的條目。
儘管為SSO製作API是一項繁瑣的任務，尤其是在處理安全方面，但實施是相對容易的任務！
• >
>在Google服務中使用SSO的一個很好的例子。您只需要登錄一個主要的Google帳戶即可訪問YouTube，Gmail，Google，Google Analytics（分析）等不同的服務。

您自己的產品

> SSO

>當您構建自己的產品時，您需要確保其所有組件都使用相同的身份驗證。當您的所有服務都局限於您自己的代碼庫時，這很容易做到。但是，借助諸如Disqus評論系統和用於客戶關係管理的Freshdesk之類的流行服務，最好使用這些服務，而不是從頭開始創建自己的。

，但是使用此類第三方服務引起了一個問題。由於他們的代碼託管在各自的服務器上，因此用戶也需要在其服務上明確登錄，即使他們登錄到您的網站。如前所述，解決方案是SSO的實現。

>理想情況下，您提供了一雙鑰匙 - 公共和私人。您為登錄用戶生成一個令牌，並將其與您的公鑰一起發送到服務以進行驗證。經過驗證後，用戶將自動登錄到服務。為了更好地理解這一點，讓我們以一個真實的例子。

>

disqus sso

> disqus是一個流行的評論託管網站的服務，它提供了許多功能，例如社交網絡集成，審核工具，分析，甚至可以導出評論的能力。它最初是YCombinator的創業公司，並已成長為世界上最受歡迎的網站之一！

>

>由於DISQUS評論系統已嵌入您的頁面中，因此，如果他或她已經在您的網站上登錄，則必須在Disqus中第二次登錄。 Disqus具有有關如何集成SSO的廣泛文檔。

>您首先使用私人和公共disqus api鍵生成一個稱為remote_auth_s3的密鑰，用於登錄用戶。當您將SSO註冊為Disqus中的免費附加組件時，您將提供公共和私鑰。

>您將用戶的信息（ID，用戶名和電子郵件）傳遞給DISQU，以作為JSON的身份驗證。您會在頁面上渲染DISQUS系統時生成一條消息。為了更好地理解它，讓我們看看用Python編寫的示例。

>

> disqus在github上提供了幾種流行語言中的代碼示例。

。

生成消息

>示例Python代碼（在GitHub上找到可以在您的網站上登錄用戶如下。

>。

>初始化disqus註釋

然後，您在JavaScript請求中將此生成的令牌以及您的公鑰發送到Disqus。如果驗證身份驗證，生成的註釋系統已經登錄了。

>我們可以在博客碗上看到SSO的實現，該博客碗是Python/Django開發的博客目錄。如果您已登錄到網站，則應在渲染DISQUS評論系統時登錄。在此示例中，該人對象存儲ID（對於網站上的每個人來說是唯一的），電子郵件和PEN_NAME。該消息的生成如下所示。

<span>import base64
</span><span>import hashlib
</span><span>import hmac
</span><span>import simplejson
</span><span>import time
</span>
DISQUS_SECRET_KEY <span>= '123456'
</span>DISQUS_PUBLIC_KEY <span>= 'abcdef'
</span>
<span>def get_disqus_sso(user):
</span>    <span># create a JSON packet of our data attributes
</span>    data <span>= simplejson.dumps({
</span>        <span>'id': user['id'],
</span>        <span>'username': user['username'],
</span>        <span>'email': user['email'],
</span>    <span>})
</span>    <span># encode the data to base64
</span>    message <span>= base64.b64encode(data)
</span>    <span># generate a timestamp for signing the message
</span>    timestamp <span>= int(time.time())
</span>    <span># generate our hmac signature
</span>    sig <span>= hmac.HMAC(DISQUS_SECRET_KEY, '%s %s' % (message, timestamp), hashlib.sha1).hexdigest()
</span>
<span># return a script tag to insert the sso message
</span>    <span>return """<script type="text/javascript">
</script></span><span>    var disqus_config = function() {
</span><span>        this.page.remote_auth_s3 = "%(message)s %(sig)s %(timestamp)s";
</span><span>        this.page.api_key = "%(pub_key)s";
</span><span>    }
</span><span>    """ % dict(
</span>        message<span>=message,
</span>        timestamp<span>=timestamp,
</span>        sig<span>=sig,
</span>        pub_key<span>=DISQUS_PUBLIC_KEY,
</span>    <span>)</span>

>在前端，您只需打印此變量即可執行腳本。有關現場演示，您可以在博客碗中訪問此帖子，並檢查底部的評論。自然，您不會登錄。

>

接下來，登錄博客碗，再次訪問同一帖子（您需要登錄以查看效果）。請注意，您已登錄下面的評論系統。

>

>博客碗提供的另一個有趣的功能是匿名，在發佈內容時（如本文）。想一想一種情況，您希望用戶以匿名用戶（例如在Quora上）發布有關DISQU的評論的答复。我們以簡單的方式出路，並在ID上附加了大量。為了與用戶相關聯（因此，它與用戶的其他評論都不會出現），我們也會生成一個唯一的電子郵件。這樣可以將您的匿名評論融合在一起，但並不將其與其他用戶的原始個人資料或匿名評論相結合。

>

，這是代碼：

sso <span>= get_disqus_sso({ 
</span>    <span>'id': person.id, 
</span>    <span>'email': person.user.email, 
</span>    <span>'username': person.pen_name 
</span><span>})</span>

結論

儘管不同服務的SSO過程略有不同，但是它們背後的基本思想是相同的 - 生成令牌並驗證它！我希望這篇文章能幫助您深入了解應用程序如何集成SSO，也許這將幫助您自己實施SSO。

如果您有任何糾正，問題或與SSO共享自己的經驗，請隨時發表評論。

>關於單次登錄（SSO）

的常見問題

>單登錄（SSO）的主要目的是什麼？具有一組登錄憑據。這消除了記憶多個用戶名和密碼的需求，從而提高了用戶的便利性和生產力。 SSO還通過減少密碼管理不善和未經授權的訪問的機會來提高安全性。

>

>單個登錄（SSO）如何工作？

SSO通過在多個應用程序或網站之間建立可信賴的關係來起作用。當用戶登錄到一個應用程序時，SSO系統會身份驗證用戶的憑據並發布安全令牌。然後，該令牌用於對SSO系統中其他應用程序的用戶進行身份驗證，從而消除了對多個登錄的需求。

使用單登錄（SSO）有什麼好處？ SSO提供了一些好處。它通過減少對多個登錄的需求來簡化用戶體驗，從而節省時間並減少挫敗感。它還通過最大程度地降低與密碼相關的漏洞的風險來提高安全性。此外，它可以通過減少密碼重置請求的數量來降低其成本。

>

>單登錄（SSO）是否存在任何風險？帶有潛在的風險。如果用戶的SSO憑據受到損害，攻擊者可以訪問與這些憑據相關的所有應用程序。因此，實施強大的安全措施（例如多因素身份驗證和常規密碼更新）以減輕這些風險至關重要。

>單一簽名（SSO）和多因素身份驗證之間有什麼區別（ MFA）？

SSO和MFA都是身份驗證方法，但它們的目的不同。 SSO通過允許用戶訪問具有一組憑據的多個應用程序來簡化登錄過程。另一方面，MFA通過要求用戶在授予訪問之前提供兩種或多種形式的身份證明來增強安全性。

>

>可以將單個登錄（SSO）與移動應用程序一起使用？ ，SSO可以與移動應用程序一起使用。許多SSO解決方案都提供移動支持，允許用戶使用一組憑據。通過簡化登錄過程來改善用戶體驗。用戶只需要記住一組憑據，從而減少了被遺忘的密碼的挫敗感。這也節省了時間，因為用戶在訪問不同的應用程序時不需要重複輸入憑據。

>

>哪些行業可以從單個登錄（SSO）（SSO）中受益？受益於SSO。嚴重依賴多個應用程序（例如醫療保健，教育，金融和技術）的行業尤其可以從SSO提供的便利性和安全性中受益。

>單個登錄（SSO）如何增強安全性？

SSO通過減少用戶需要記住和管理的密碼數量來增強安全性。這降低了弱或重複使用密碼的可能性，這是網絡攻擊的常見目標。此外，許多SSO解決方案都結合了其他安全措施，例如多因素身份驗證和加密，以進一步保護用戶數據。

可以將單個登錄（SSO）與現有系統集成在一起嗎？ >是的，大多數SSO解決方案都可以與現有系統集成。但是，集成過程可能會根據特定的SSO解決方案和到位而有所不同。與經驗豐富的IT團隊或SSO提供商合作以確保平穩而安全的集成非常重要。

以上是單登錄（SSO）解釋了的詳細內容。更多資訊請關注PHP中文網其他相關文章！