单点登录（SSO）-同域名、不同域名

### 单点登录（SSO）技术解析：同域名与不同域名下的实现 #### 背景介绍 在企业的早期发展阶段，所使用的内部系统数量有限，通常为一两个，每个系统都配备有自己的登录模块。这样的架构对于运营人员来说非常便捷，因为他们只需要记住一套登录凭据即可访问所有系统。然而，随着企业的不断发展以及业务需求的增加，系统数量也随之增加。此时，每个系统都拥有独立的登录界面和不同的登录凭证，这就给运营人员带来了不便：不仅需要频繁地切换系统并重复登录，还必须管理众多不同的账户和密码。 为了解决这个问题，提高工作效率并简化用户体验，单点登录（Single Sign-On, SSO）技术应运而生。SSO的核心理念是让用户只需在一个系统中登录，便能自动获得对其它互信系统或应用程序的访问权限，从而避免了重复登录的过程。 #### 单点登录（SSO）概述 单点登录是一种身份验证机制，它允许用户通过一次认证过程来访问多个应用系统。这一过程不仅提升了用户体验，同时也增强了安全性。SSO系统通常包含以下几个关键组件： - **SSO服务器**：负责用户的认证过程，并维护用户的状态信息。 - **服务提供者**（Service Provider, SP）：即需要SSO功能的应用程序或系统。 - **客户端/用户**：发起登录请求的一方。 #### 技术实现 在深入了解SSO的具体实现之前，我们先简要回顾一下传统的登录认证机制。 传统登录流程大致如下：用户通过浏览器访问某个需要登录的应用系统，输入用户名和密码后完成认证。认证成功后，服务端会在用户的会话（session）中标记其登录状态，并在浏览器中设置一个名为`jsessionid`的Cookie，该Cookie作为用户的唯一标识符。当用户再次访问该应用时，服务端会根据请求中携带的Cookie查找对应的会话，从而确定用户是否已经登录。 #### 同域名下的单点登录 在大多数情况下，一个企业会使用同一个顶级域名（如`.com`）并通过不同的二级域名（如`app1.example.com`和`app2.example.com`）来区分不同的业务系统。为了实现SSO功能，企业通常会部署一个专门的登录系统（如`sso.example.com`）。 实现同域名下的SSO主要包括以下步骤： 1. **Cookie域的设置**：在SSO系统中登录后，可以通过设置Cookie的域为顶级域（如`.example.com`），使得所有子域都能访问到该Cookie。这解决了Cookie跨域的问题。 2. **Session共享**：虽然各应用系统间默认不会共享Session，但可以通过多种方式实现Session的共享，如使用Spring Session等技术方案。这种方式确保了无论用户访问哪个子系统，都能够读取到SSO系统中的登录状态，从而实现自动登录。 #### 不同域名下的单点登录 当涉及到不同域名之间的SSO时，传统的Cookie共享机制不再适用，因为不同域名下的Cookie是互相隔离的。为了解决这一问题，业界采用了一种称为CAS（Central Authentication Service）的标准流程。 CAS流程的关键步骤包括： 1. **用户尝试访问未授权的应用系统**，系统检测到用户尚未登录，于是重定向至SSO服务器。 2. **SSO服务器呈现登录页面**，用户提交登录凭据后，SSO服务器验证凭据的有效性，并创建一个登录会话。 3. **生成Service Ticket (ST)**：登录成功后，SSO服务器会生成一个一次性使用的票据——Service Ticket（ST），并将用户重定向回原申请访问的应用系统。 4. **应用系统验证ST**：接收到来自SSO服务器的重定向后，应用系统会携带ST向SSO服务器发起验证请求。如果ST有效，则用户被认为已经登录该应用。 5. **应用系统更新本地状态**：验证通过后，应用系统会将用户视为已登录状态，并授予相应的访问权限。 #### 总结 单点登录（SSO）技术极大地提升了用户的体验和系统的安全性。无论是同域名还是不同域名环境下的SSO实现，都遵循着相似的核心原理：通过集中式的身份认证机制，实现用户在多个互信系统间的无缝切换。随着企业信息化程度的不断提高，SSO技术的应用也将越来越广泛。