SSO是什么 _生活百科

单点登录（Single Sign On），称之为 SSO，是比较热门的公司业务整合解决方案之一。SSO 的概念是在多个应用系统中，用户只需要登陆一次就可以浏览全部相互尊重的应用系统。

文章插图
简述很初期的企业，一家公司可能只有一个 Server，慢慢地 Server 逐渐变多了。每个 Server 都会进行注册帐号，撤出的时候又要一个个撤出。客户体验很不好！你能想象一下，上豆瓣要登陆豆瓣 FM、豆瓣读书、豆瓣电影、豆瓣日记……确实会令人崩溃的。我们想要另一种登陆感受：一家企业中的服务只需一次注册，登陆时只需一次登陆，退出的时候只需一次撤出。如何做？
一次注册。一次注册不难，想一下是否只需 Server 中间同歩客户信息就行了？能够，但这样描述不太详细，后面讲用户注册时详细说。事实上客户信息的监管才是 SSO 真正的难题，只是作为新手，我们的难点在于完成 SSO 的技术！我们先探讨完成方式。
一次登陆与一次撤出。回头瞧瞧一般商场的故事，什么才是维持登录状态关键的物品？记录器（session）？那类称为 cookie 的纸张？写在纸张里的 ID? 是 session 里边记载的信息跟那个 ID，cookie 不只是记录 ID 的工具罢了。客户端拥有 ID，服务端拥有 session，二者一起用于维持登录状态。客户端要用 ID 来作为凭据，而服务端要用 session 来验证 ID 实效性（ID 可能到期、可能简直就是伪造的找不着对应的信息、ID 下对应的客户端都还没开展登录验证等）。可是 session 这东西一开始是每个 server 自身特有的，豆瓣 FM 有自己的 session、豆瓣读书有自己的 session，而纪录 ID 的 cookie 也是不能跨域的。因此，大家要实现一次登陆一次撤出，只需想办法让每个 server 的共用一个 session 的信息，让客户端在多个域名下都能拥有这一 ID 就行了。再进一步讲，只需每个 server 取得同一个 ID，都能有方法检测出 ID 实效性、而且能得到 ID 对应的客户信息就行了，也就是能检测 ID 。
完成方式server 端以 server 群怎样形成、认证 ID 的形式主要分为二种：
“分享 Cookie”这个就是上面提到的分享 session 的形式，我倒觉得叫“分享 session”来的好一点，实质上 cookie 仅仅存放 session-id 的物质，session-id 也要放在每一次请求的 url 里。听说这种方法不安全，我没去深究，哪位高手能够推荐下相关资料，我后期补好。其实也是，终究 session 此项体制一开始就是一个 server 一个 session 的，把 session 取出来让所有 server 分享的确有点奇怪。
SSO-Token 方法由于分享 session 的形式不安全，因此我们不再以 session-id 做为身份的标志。大家此外形成一种标志，将它取名 SSO-Token(或 Ticket)，这类标志是所有 server 群唯一的，而且全部 server 群都能认证这一 token，同时能拿到 token 身后代表的用户的信息。我们要探讨的也是这种方法，一会上实际流程表。
浏览器端单点登录也有十分关键的一步，这一步跟 server 端认证 token 的形式无关，用最早“分享 session”的形式或是现今“token”方法，身份标识到浏览器端都要遭遇这样的一个难题：账号登录成功取得 token(或者 session-id)后如何让浏览器存储和发送到其他域名下？同域名很简单，把 token 存有 cookie 里，把 cookie 的路径设成顶级域名下，那样全部子域都能载入 cookie 里的 token 。这便是分享 cookie 的形式（这才叫分享 Cookie 嘛，上面那个应该叫分享 session）。例如：谷歌公司，google.com 是他的顶级域名，邮箱服务的 mail.google.com 和地图服务的 map.google.com 都是它的子域。可是，跨域时怎么办？谷歌公司也有一个域名，youtube.com，给予视频服务。
公司应用集成【SSO是什么】一般来说运维内控审计系统、4A 系统都包含该项作用，目的是简化账户登录过程并维护账号和密码安全，对账户进行统一管理。
公司应用集成（EAI, Enterprise Application Integration）。公司应用集成能够在各个角度上开展：比如在数据存储层面上的“数据大集中”，在传送层面上的“通用数据交换平台”，在运用层面上的“工作流程融合”，和操作界面里的“通用企业门户”这些。实际上，还有一个层面上的集成变得越来越重要，那便是“身份验证”的融合，也就是“单点登录” 。
在信息安全管理中，密钥管理(Access Controls)围绕四个过程：Identification；Authentication；Authorization；Accountability 。单点登录（Single Sign On）属于 Authentication 认证系统，除单点登录外也包括：Lightweight Directory Access Protocol 和 Authorization ticket 。（Michael E. Whitman (2011) Management Of Information Security Kennesaw University) 。
技术实现体制当客户第一次浏览应用系统时，由于都还没登陆，能被
引导到认证系统内进行登陆；依据客户提供的登录信息，认证系统开展身份校验，如果通过校检，应当回到给用户一个认证凭证－－ticket；客户再浏览其他运用的时候，就会把这一 ticket 携带，作为自己认证凭证，应用系统接受到要求以后能把 ticket 送至认证系统开展校检，查验 ticket 的合法性。如果通过校检，客户就可以在无需再度登陆的情形下浏览应用系统 2 和应用系统 3 了。
要实现 SSO，必须下列关键的功效：
全部应用系统分享一个身份认证系统。统一的认证系统是 SSO 的前提之一。认证系统的主要功能是将用户的登录信息与用户资料库相比，对用户开展登录认证；认证成功后，认证系统应当形成统一的认证证书（ticket），返还给客户。此外，认证系统还应当对 ticket 开展效验，判断其实效性。
全部应用系统可以识别获取 ticket 信息要实现 SSO 的功效，让用户只登陆一次，就必须让应用系统可以鉴别早已登陆完的客户。应用系统应该能对 ticket 进行识别和获取，通过与认证系统的通信，可自动分辨当前用户是否登陆过，从而完成单点登录的功效。
优势1）提高用户效率。
客户不再被数次登陆困惑，不需要记牢多个 ID 和密码。此外，客户密码忘了并有求于支持人员的状况也会减少。
2）提升开发者效率。
SSO 为开发者提供了一个通用身份认证架构。事实上，假如 SSO 机制是单独的，那样开发者就完全不需要为身份认证操劳。他们能够假定，只需对应用软件请求附加一个登录名，身份认证就已经完成。
3）简化管理。
假如应用软件加入单点登录协议，管理客户账号的压力便会缓解。简化的水平在于应用软件，由于 SSO 只解决身份认证。因此，应用软件可能仍需要设定客户的特性（例如浏览权利）。