Single sign on 什么是SSO

我将SSO理解为所有连接的应用程序的一次性登录。我想更多地了解SSO以及它是如何实现的

我是唐尼。他是我的一个朋友

基本的机制是信任你朋友的朋友

另一个比喻是当你进入一个安全的建筑时，他们给你的贴纸。早上，您向安全人员出示您的有效ID（凭证），在一天剩下的时间里，贴纸充当通行证（令牌）。当你第二天回来时，你必须再次出示你的身份证

---

关键技术是你们如何信任你们的朋友、安全人员或敌对网络中的任何人。了解Kerberos或非对称加密的工作原理。

SSO指的是单点登录，当我们使用基于声明的身份验证以及基于表单的身份验证或窗口身份验证时，默认情况下会实现单点登录。主要用途是索赔，即称为发卡机构的第三方，通过提供令牌向用户提供访问应用程序的授权，令牌将包含索赔和数字签名，用于通过应用程序识别发卡机构。 您可以在此处获得更多信息：

---

单点登录是我们在实施基于声明的身份验证时默认提供的一种功能。它涉及发卡机构的附加第三方身份验证，发卡机构从希望访问应用程序的用户处获得凭据后将提供令牌。

单次登录允许最终用户登录到单个门户并无缝访问多个应用程序，减少多个登录屏幕，并通过一个中央入口点提高安全性

解决最终用户关于必须记住多个密码的投诉是许多组织的共同目标。为web应用程序提供多个登录访问点不仅是最终用户的痛点，也是一种安全风险，可能会使您的公司容易受到网络攻击。单一登录门户解决方案可以消除多个密码提示的麻烦，并简化用户的访问。然而，许多SSO解决方案成本高昂，难以实现以有效处理所有用户访问场景。当试图让外部用户（从客户、合作伙伴、供应商甚至供应商）继续使用单一登录体验时，集成尤其困难，因为这些用户都希望无缝访问托管的web应用程序

我最近一直在研究不同的SSO解决方案-有这么多！我偶然看到这个小视频，觉得它太聪明了

“单点登录（SSO）是一种身份验证过程，允许用户使用一组登录凭据访问多个应用程序。SSO是企业中的常见过程，其中客户端访问连接到局域网（LAN）的多个资源。”

---

您可以在部署在同一域下的Web应用程序的上下文中阅读更多内容

实现SSO的一种方法是使用基于Cookie的机制

假设我们有app1.example.com和app2.example.com，我们希望在它们之间启用SSO。正如您已经提到的，这意味着我登录到app1，如果我在同一个Web浏览器会话app2中访问，那么我将不再需要登录到app2

从技术上讲，这两个应用程序都需要一种创建和读取安全令牌（Cookie）的方法。对于我们的示例，Cookie可以存储有关登录用户的信息。这些信息甚至可以用两个应用程序都知道的密钥加密到Cookie中

第一次登录场景-app1创建cookie：

用户登录到app1.example.com。app1登录成功后，app1将触发为example.com的域和子域的登录用户创建cookie（将cookie设置为“.example.com”）。此时，cookie位于客户端的浏览器中

无需登录即可访问第二个应用程序-应用程序2读取cookie 在新的浏览器选项卡中，用户正在访问app2.example.com。浏览器会将app1创建的cookie附加到app2.example.com请求，因为它位于同一域中。app2将有一个过滤器，它读取cookie，提取用户名并创建app2会话，绕过整个登录过程，瞧！实现了SSO

---

登录到app2并在不登录的情况下访问app1也可以实现相同的场景，条件是这次app2应该能够创建cookie，app1应该能够读取cookie并将其用于会话创建。

查看此链接了解更多信息：