SSO单点登录解决方案 - 编程入门网

SSO单点登录解决方案(2)

2 单点登陆的技术实现机制

随着SSO技术的流行，SSO的产品也是满天飞扬。所有著名的软件厂商都 提供了相应的解决方案。在这里我并不想介绍自己公司（Sun Microsystems）的产品，而是对SSO技术本 身进行解析，并且提供自己开发这一类产品的方法和简单演示。有关我写这篇文章的目的，请参考我的 博 客（http://yuwang881.blog.sohu.com/3184816.html）。

单点登录的机制其实是比较简单的 ，用一个现实中的例子做比较。颐和园是北京著名的旅游景点，也是我常去的地方。在颐和园内部有许 多独立的景点，例如“苏州 街”、“佛香阁”和“德和园”，都可以 在各个景点门口单独买票。很多游客需要游玩所有德景点，这种买票方式很不方便，需要在每个景点门 口排队买票，钱包拿 进拿出的，容易丢失，很不安全。于是绝大多数游客选择在大门口买一张通票（也 叫套票），就可以玩遍所有的景点而不需要重新再买票。他们只需要在每个景点门 口出示一下刚才买的 套票就能够被允许进入每个独立的景点。

单点登录的机制也一样，如下图所示，当用户第一次访 问应用系统1的时候，因为还没有登录，会被引导到认证系统中进行登录（1）；根据用户提供的登录信 息， 认证系统进行身份效验，如果通过效验，应该返回给用户一个认证的凭据－－ticket（2）；用户 再访问别的应用的时候（3，5）就会将这个ticket 带上，作为自己认证的凭据，应用系统接受到请求之 后会把ticket送到认证系统进行效验，检查ticket的合法性（4，6）。如果通过效验，用户就可 以在不 用再次登录的情况下访问应用系统2和应用系统3了。

从上面的视图可以看 出，要实现SSO，需要以下主要的功能：

所有应用系统共享一个身份认证系统。

统一的认 证系统是SSO的前提之一。认证系统的主要功能是将用户的登录信息和用户信息库相比较，对用户进行登 录认证；认证成功后，认证系统应该生成统一的认证标志（ticket），返还给用户。另外，认证系统还 应该对ticket进行效验，判断其有效性。

所有应用系统能够识别和提取ticket信息

要实 现SSO的功能，让用户只登录一次，就必须让应用系统能够识别已经登录过的用户。应用系统应该能对 ticket进行识别和提取，通过与认证系统的通讯，能自动判断当前用户是否登录过，从而完成单点登录 的功能。

上面的功能只是一个非常简单的SSO架构，在现实情况下的SSO有着更加复杂的结构。有 两点需要指出的是：

单一的用户信息数据库并不是必须的，有许多系统不能将所有的用户信息都 集中存储，应该允许用户信息放置在不同的存储中，如下图所示。事实上，只要统一认证系统，统一 ticket的产生和效验，无论用户信息存储在什么地方，都能实现单点登录。

统一 的认证系统并不是说只有单个的认证服务器，如下图所示，整个系统可以存在两个以上的认证服务器， 这些服务器甚至可以是不 同的产品。认证服务器 之间要通过标准的通讯协议，互相交换认证信息，就 能完成更高级别的单点登录。如下图，当用户在访问应用系统1时，由第一个认证服务器进行认证后，得 到由此 服务器产生的ticket。当他访问应用系统4的时候，认证服务器2能够识别此ticket是由第一个服 务器产生的，通过认证服务器之间标准的通讯协议 （例如SAML）来交换认证信息，仍然能够完成SSO的 功能。

SSO单点登录解决方案(3)

3 WEB-SSO的实现

随着互联网的高速发展，WEB应用几乎统治了绝大部分的软件应用系统，因 此WEB-SSO是SSO应用当中最为流行。WEB-SSO有其自身的特点和优 势，实现起来比较简单易用。很多商 业软件和开源软件都有对WEB-

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!