實例講解SSO單一登入原理

1、http無狀態協定

　　web應用程式採用browser/server架構，http作為通訊協定。 http是無狀態協議，瀏覽器的每一個請求，伺服器會獨立處理，不與之前或之後的請求產生關聯，這個過程用下圖說明，三次請求/回應對之間沒有任何聯繫

#　　但這也同時意味著，任何使用者都能透過瀏覽器存取伺服器資源，如果想保護伺服器的某些資源，必須限制瀏覽器請求；要限制瀏覽器請求，必須鑑別瀏覽器請求，回應合法請求，忽略非法請求；要鑑別瀏覽器請求，必須清楚瀏覽器請求狀態。既然http協定無狀態，那就讓伺服器和瀏覽器共同維護一個狀態吧！這就是會話機制

2、會話機制

　　瀏覽器第一次請求伺服器，伺服器建立一個會話，並將會話的id作為回應的一部分傳送給瀏覽器，瀏覽器存儲會話id，並在後續第二次和第三次請求中帶上會話id，伺服器取得請求中的會話id就知道是不是同一個用戶了，這個過程用下圖說明，後續請求與第一次請求產生了關聯

　　伺服器在記憶體中保存會話對象，瀏覽器怎麼保存會話id呢？你可能會想到兩種方式

1. 請求參數

2. #cookie

　　將會話id作為每一個請求的參數，伺服器接收請求自然能解析參數獲得會話id，並藉此判斷是否來自同一會話，很明顯，這種方式不靠譜。那就瀏覽器自己來維護這個會話id吧，每次發送http請求時瀏覽器自動發送會話id，cookie機制正好用來做這件事。 cookie是瀏覽器用來儲存少量資料的機制，資料以」key/value「形式存儲，瀏覽器發送http請求時自動附帶cookie訊息

　　tomcat會話機制當然也實作了cookie，存取tomcat伺服器時，瀏覽器中可以看到一個名為「JSESSIONID」的cookie，這就是tomcat會話機制維護的會話id，使用了cookie的請求回應過程如下圖

3、登入狀態

　　有了會話機制，登入狀態就好明白了，我們假設瀏覽器第一次請求伺服器需要輸入使用者名稱與密碼驗證身份，伺服器拿到使用者名稱密碼去資料庫比對，正確的話說明目前持有這個會話的用戶是合法用戶，應該將這個會話標記為「已授權」或「已登入」等等之類的狀態，既然是會話的狀態，自然要保存在會話物件中，tomcat在會話物件中設定登入狀態如下

#1 ##2

HttpSession session = request.getSession(); session.setAttribute("isLogin",true);

#　　使用者再次造訪時，tomcat在會話物件中查看登入狀態

##

　　實現了登入狀態的瀏覽器請求伺服器模型如下圖描述

#　　每次請求受保護資源時都會檢查會話物件中的登入狀態，只有isLogin= true 的會話才能訪問，登入機制因此而實現。

二、多系統的複雜性

　　web系統早已從久遠的單系統發展成為如今由多系統組成的應用群，面對如此眾多的系統，用戶難道要一個一個登入、然後一個一個註銷嗎？就像下圖所描述的

　　web系統由單一系統發展成多系統所組成的應用群，複雜性應該由系統內部承擔，而不是使用者。無論web系統內部多麼複雜，對使用者而言，都是一個統一的整體，也就是說，使用者存取web系統的整個應用群組與存取單一系統一樣，登入/登出只要一次就夠了

#　　雖然單一系統的登入解決方案很完美，但對於多系統應用群組已經不再適用了，為什麼呢？

　　單系統登入解決方案的核心是cookie，cookie攜帶會話id在瀏覽器與伺服器之間維護會話狀態。但cookie是有限制的，這個限制就是cookie的網域（通常對應網站的網域），瀏覽器發送http請求時會自動攜帶與該網域相符的cookie，而不是所有cookie

　　既然這樣，為什麼不將web應用群中所有子系統的域名統一在一個頂級域名下，例如“*.baidu.com”，然後將它們的cookie域設置為“baidu.com” ，這種做法理論上是可以的，甚至早期很多多系統登入就採用這種同域名共享cookie的方式。

　　然而，可行並不代表好，共享cookie的方式存在眾多限制。首先，應用群組網域名稱得統一；其次，應用群組各系統使用的技術（至少是web伺服器）要相同，不然cookie的key值（tomcat為JSESSIONID）不同，無法維持會話，共享cookie的方式是無法實現跨語言科技平台登入的，例如java、php、.net系統之間；第三，cookie本身不安全。

　　因此，我們需要一種全新的登錄方式來實現多系統應用群的登錄，這就是單點登錄

#三、單點登錄

　　什麼是單點登入？單點登入全稱Single Sign On（以下簡稱SSO），是指在多系統應用群中登錄一個系統，便可在其他所有系統中得到授權而無需再次登錄，包括單點登錄與單點註銷兩部分

1、登入

　　相比於單系統登錄，sso需要一個獨立的認證中心，只有認證中心能接受用戶的用戶名密碼等安全信息，其他系統不提供登錄入口，只接受認證中心的間接授權。間接授權透過令牌實現，sso認證中心驗證使用者的使用者名稱密碼沒問題，建立授權令牌，在接下來的跳轉過程中，授權令牌作為參數傳送給各個子系統，子系統拿到令牌，即得到了授權，可以藉此建立局部會話，局部會話登入方式與單一系統的登入方式相同。這個過程，也就是單一登入的原理，用下圖說明

　　下面對上圖簡單描述

1. 用戶訪問系統1的受保護資源，系統1發現用戶未登錄，跳到sso認證中心，並將自己的地址作為參數

2. sso認證中心發現用戶未登錄，將使用者引導至登入頁面

3. 使用者輸入使用者名稱密碼提交登入申請

4. sso認證中心校驗使用者訊息，建立使用者與sso認證中心之間的會話，稱為全域會話，同時建立授權令牌

5. sso認證中心帶著令牌跳到最初的請求位址（系統1）

6. 系統1拿到令牌，去sso認證中心校驗令牌是否有效

7. #sso認證中心校驗令牌，返回有效，註冊系統1

8. 系統1使用該令牌建立與使用者的會話，稱為局部會話，傳回受保護資源

9. 使用者存取系統2的受保護資源

10. 系統2發現使用者未登錄，跳到sso認證中心，並將自己的位址作為參數

11. sso認證中心發現使用者已登錄，跳到系統2的位址，並附上令牌

12. 系統2拿到令牌，去sso認證中心校驗令牌是否有效

13. ##sso認證中心校驗令牌，傳回有效，註冊系統2

14. 系統2使用該令牌建立與使用者的局部會話，傳回受保護資源

　　使用者登入成功之後，會與sso認證中心及各個子系統建立會話，使用者與sso認證中心建立的會話稱為全域會話，使用者與各子系統建立的會話稱為局部會話，局部會話建立之後，使用者存取子系統受保護資源將不再通過sso認證中心，全域會話與局部會話有以下約束關係

1. 局部會話存在，全域會話一定存在

2. 全域會話存在，局部會話不一定存在

3. #全域會話銷毀，局部會話必須銷毀

　　你可以透過部落格園區、百度、csdn、淘寶等網站的登入流程加深對單一登入的理解，注意觀察登入過程中的跳轉url與參數

2、登出

　　單點登入自然也要單點註銷，在一個子系統中註銷，所有子系統的會話都將被銷毀，用下面的圖來說明

　　sso認證中心一直監聽全域會話的狀態，一旦全域會話銷毀，監聽器將通知所有註冊系統執行註銷操作

　　下面對上圖簡要說明

1. #使用者向系統1發起註銷請求

2. 系統1根據使用者與系統1建立的會話id拿到令牌，向sso認證中心發起註銷請求

3. sso認證中心校驗令牌有效，銷毀全域會話，同時取出所有用此令牌註冊的系統位址

4. sso認證中心向所有註冊系統發起註銷請求

5. 各註冊系統接收sso認證中心的註銷請求，銷毀局部會話

6. sso認證中心引導使用者至登入頁面

四、部署圖

　　單一登入涉及sso認證中心與眾子系統，子系統與sso認證中心需要通訊交換權杖、校驗代幣及發起註銷請求，因而子系統必須整合sso的客戶端，sso認證中心則是sso服務端，整個單點登入過程實質是sso客戶端與服務端通訊的過程，用下圖描述

#　　sso認證中心與sso客戶端通訊方式有多種，這裡以簡單好用的httpClient為例，web service、rpc、restful api都可以

五、實現

　　只是簡單介紹下基於java的實作過程，不提供完整原始碼，明白了原理，我相信你們可以自己實作。 sso採用客戶端/服務端架構，我們先看sso-client與sso-server要實現的功能（下面：sso認證中心=sso-server）

　　sso-client

1. #攔截子系統未登入使用者要求，跳到sso認證中心

2. #接收並儲存sso認證中心發送的令牌

3. #與sso-server通信，校驗令牌的有效性

4. 建立局部會話

5. 攔截使用者登出請求，向sso認證中心發送註銷請求

6. 接收sso認證中心發出的註銷請求，銷毀局部會話

　　sso-server

1. #　　sso-server

2. 驗證使用者的登入資訊

3. 建立全域會話

4. 建立授權令牌

5. 與sso-client通訊發送令牌

6. #sso-client令牌有效性

7. 系統註冊

接收sso-client註銷請求，註銷所有會話

　　接下來，我們按照原理來一步一步實現sso！

1 #2	HttpSession session = request. getSession(); session.getAttribute("isLogin");

1、sso-client攔截未登入要求　　java攔截請求的方式有servlet、filter、listener三種方式，我們採用filter。在sso-client中新LoginFilter.java類別並實作Filter接口，在doFilter()方法中加入對未登入使用者的攔截2、sso-server攔截未登入要求

##1 #2 3 4 #5 #6 ##7 ##8 #9 10

11 12 public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)throws IOException, ServletException {######    HttpServletRequest req = (HttpServletRequest) request;######    HttpServletResponse res =# (HttpServletResponse) HttpServletResponse res =# (HttpServletResponse)     HttpSession session = req.getSession();           if(session.getAtNot ;         return; #    }     //跳轉至sso認證中心   -url"); }

　　攔截從sso-client跳到sso認證中心的未登入要求，跳到登入頁面，這個流程與sso-client完全一樣

3、sso-server驗證使用者登入資訊

　　使用者在登入頁面輸入使用者名稱密碼，請求登錄，sso認證中心校驗使用者訊息，校驗成功，將會話狀態標記為「已登入」

1@RequestMapping("/ login")4、sso-server建立授權令牌

2 3 4 5 #6

public String login(String username, String password, HttpServletRequest req) {     this.checkLoginInfo(username, password);  setAttribute("isLogin",true);     return"success"; }

　　授權令牌是一串隨機字符，以什麼樣的方式產生都沒有關係，只要不重複、不易偽造即可，以下是一個例子

#1String token = UUID.randomUUID().toString();#5、sso-client取得令牌併校驗

　　sso認證中心登入後，跳轉回子系統並附上令牌，子系統（sso-client）取得令牌，然後去sso認證中心校驗，在LoginFilter.java的doFilter()中加入幾行

1#　　verify()方法使用httpClient實現，這裡僅簡略介紹，httpClient詳細使用方法請參考官方文件

2 #3 4 5 6 7 8 9 10 11

// 請求附帶token參數 String token = req.getParameter("token"); if (token != null) {     // 去sso認證中心校驗token     booleanverifyResult = this.verify("sso-server-verify-url", token);     if(!verifyResult) { ##        res.sendRedirect("sso-server-url");  #   chain.doFilter(request, response); }

12HttpResponse httpResponse = httpClient.execute(httpPost);6、6、

HttpPost httpPost =new HttpPost(" sso-server-verify-url-with-token");

. sso-server接收並處理校驗令牌請求

　　使用者在sso認證中心登入成功後，sso-server建立授權令牌並儲存該令牌，所以，sso-server對令牌的校驗就是去尋找這個令牌是否存在以及是否過期，令牌校驗成功後sso-server將發送校驗請求的系統註冊到sso認證中心（就是儲存起來的意思）

　　令牌與註冊系統位址通常儲存在key-value資料庫（如redis）中，redis可以為key設定有效時間也就是令牌的有效期限。 redis運行在記憶體中，速度非常快，剛好sso-server不需要持久化任何資料。

　　令牌與註冊系統位址可以用下圖描述的結構儲存在redis中，可能你會問，為什麼要儲存這些系統的位址？如果不存儲，註銷的時候就麻煩了，用戶向sso認證中心提交註銷請求，sso認證中心註銷全局會話，但不知道哪些系統用此全局會話建立了自己的局部會話，也不知道要向哪些子系統發送註銷請求註銷局部會話

7、sso-client校驗令牌成功建立局部會話　　令牌校驗成功後，sso- client將目前局部會話標記為“已登入”，修改LoginFilter.java，並新增幾行

1

##################################### ##3############if (verifyResult) {######    session.setAttribute("isLogin",true);######}######################################################################################### ##########

　　sso-client還需將目前會話id與令牌綁定，表示這個會話的登入狀態與令牌相關，此關係可以用java的hashmap保存，保存的資料用來處理sso認證中心發送的註銷請求

8、註銷程序

　　用戶向子系統發送帶有“logout”參數的請求（註銷請求），sso-client攔截器攔截該請求，向sso認證中心發起註銷請求

1 2 3 4

#String logout = req.getParameter("logout"); if (logout != null) {     this.ssoServer.logout(token); #}

　　sso認證中心也用同樣的方式辨識出sso-client的要求是註銷要求（有「logout」參數），sso認證中心註銷全域會話

#　　sso認證中心有一個認證中心有一個認證中心。全域會話的監聽器，一旦全域會話登出，就會通知所有註冊系統登出

1 2 3 ##4 5 6 7 8

#@RequestMapping("/logout") public String logout (HttpServletRequest req) {     HttpSession session = req.getSession();     if(session != null) {# #2;215/71/L1808500%      }     return"redirect:/"; }

1##2    @OverridePHP中單一登入Cookie分析與實作

3 4 5 6 #7 8 public class LogoutListener implementsHttpSessionListener {

publicvoid sessionCreated(HttpSession SessionEvent event) {         //通過httpClient向所有註冊系統發送註銷請求     } } 相關推薦：

單一登入原理與簡單實作

SSO單一登入的PHP實作方法（Laravel框架）

#

以上是實例講解SSO單一登入原理的詳細內容。更多資訊請關注PHP中文網其他相關文章！