1定义
单点登录(Singlesign-on,简称SSO),一供访问控制的属性是许多相互关联但独立的软件系统。
当您拥有此属性时,当用户登录时,您可以获得所有系统的访问权限,而无需逐个登录到每个单个系统。所以你会看到很多域名是直接的sso.domain.com,也就是说,它被用来做一个单点登录。该功能通常是一个轻目录访问协议(LDAP)为了实现,用户信息将存储在服务器上LDAP数据库中。
同样,单一退出(singlesign-off)也就是说,只需要单一的退出动作,就可以结束对多个系统的访问权限。
一个用户要求N个系统,给用户一种系统的感觉,不需要重复登录。
2实现
根据不同的业务场景采取不同的实现方法
2.1方案一
域名 a.javaedge.com,b.javaedge.com,c.javaedge.com,n.javaedge.com
描述
N系统,但一级域名一致;这个案例的实现相对简单
这个方案相对简单,只要提供公共服务SDK也就是不需要出现第三个系统,SDK需要管理Cookie和用户信息。
原理
这里的实质是用[二级域名]写[一级域名][Cookie].
优点
轻量级,可插拔,效率很高
缺点
限制仅限于一级域名是相同的
2.2方案二
域名
www.sojson.com,a.sojson.com,www.itboy.net,www.wenyiba.com
描述
域名比较乱,有同级别的域名,也有不同的域名
原理
通过SSO 系统(登录,退出)[Iframe]引用方式介绍Cookie.domain.com;利用[Javascript]操作(写入/删除/修改)[cookie];而这个cookie.domain.com 域名放入[CDN]以上,通过当前系统直接获取用户信息[Redis](只读)获取
优点
压力分化,Cookie.domain.com 部署在CDN上;在这种情况下,对每个系统的压力为0;使用第三方系统(SSO)维护,权限更大,操作性更强;Cookie 在当前域名的一级域下,获取信息很简单,大大降低了对[sso]的访问量
缺点
假如浏览器太安全,Iframe 的方式操作[Cookie]会失败的IE目前正在攻克的浏览器IE浏览器。
2.3方案三
域名
www.sojson.com,a.sojson.com,www.itboy.net,www.wenyiba.com。
描述
域名比较乱,有同级别的域名(www.sojson.com,a.sojson.com),还有不同的域名(条件与方案相同),实现思路如下图所示:
原理
所有请求(登录、退出、获取用户信息、当前用户状态)sso 系统,sso 用户信息的系统维护,Session,UserInfo。
优点
实现相对简单
缺点
SSO 压力非常大
2.4方案四
域名
www.java.com,a.java.com,www.itboy.net,www.wenyiba.com。
描述
域名比较乱,有相同的一级域名(www.java.com,a.java.com),也有不同的域名。(条件与方案2相同),实现采用[CAS]
原理
与方案三相似。
优点
现成的,信息较多。
缺点
灵活性差。
安策信息技术(上海)有限公司,简称SafePloy安策,成立于2002年,是一家专注数据安全领域的服务商,旨在帮助客户实现数据的按需加密和控制,在北京、深圳、南京、青岛、香港均有分支机构。经过20年的努力与发展,SafePloy安策已在许多行业获得了信息安全策略实践经验,从企业的应用安全入手,到实际访问控制的解决部署,再到使用中的数据加密保全方案等,我们都非常注重密码技术在各个关键环节中的应用,保障业务系统的合规性、机密性、完整性、可用性的同时,保障业务在安全的基础上可持续地高效运营。
单点登录功能通常是一个轻目录访问协议(LDAP)为了实现,用户信息将存储在服务器上LDAP数据库中。
版权声明: SafePloy安策利用网络资源获取的信息安全资料加上公司技术人员的理解整理产出的技术交 流文档,如有版权意见,请及时告知安策公司,我们将及时查证纠正错误,谢谢支持。有问题请及时电邮 market@ SafePloy.com