jwt单点登录和sso单点登录，jwt如何实现单点登录

《JWT实现单点登录：原理、流程与与SSO单点登录的对比》

图片来源于网络，如有侵权联系删除

一、单点登录（SSO）概述

单点登录（Single Sign - On，SSO）是一种身份验证机制，允许用户使用一组凭据（如用户名和密码）登录到多个相关但独立的应用程序或系统，其核心目标是提高用户体验，减少用户需要记住多个账号密码的麻烦，同时方便企业对用户身份进行统一管理。

传统的SSO系统通常基于中央认证服务器（CAS - Central Authentication Server），当用户尝试访问受保护的应用程序时，应用程序会将用户重定向到CAS，如果用户尚未登录，CAS会提示用户输入凭据进行认证，一旦认证成功，CAS会生成一个票据（Ticket），这个票据会被传递回最初请求的应用程序，应用程序再凭借该票据从CAS获取用户信息并完成登录流程，这种方式在多个内部企业应用之间的集成非常常见，但也存在一些局限性，例如依赖于特定的服务器架构，跨域处理相对复杂等。

二、JWT（JSON Web Token）简介

JWT是一种开放标准（RFC 7519），用于在各方之间安全地传输信息，JWT以紧凑、自包含的方式表示要传输的信息，信息可以被验证和信任，因为它是数字签名的，一个JWT由三部分组成：头部（Header）、载荷（Payload）和签名（Signature）。

- 头部：通常包含令牌的类型（如JWT）和使用的签名算法（如HMAC - SHA256或RSA）。

- 载荷：包含声明（Claims），这些声明是关于实体（通常是用户）和附加数据的陈述，用户的ID、角色、过期时间等。

- 签名：用于验证消息在传递过程中没有被篡改，它是根据头部和载荷使用指定的算法和密钥生成的。

三、JWT实现单点登录的原理与流程

1、用户登录

- 当用户首次登录到其中一个应用程序（我们称之为源应用）时，用户输入用户名和密码，源应用将用户的凭据发送到身份验证服务器进行验证。

- 身份验证服务器验证用户凭据成功后，生成一个JWT，这个JWT包含了用户的关键信息，如用户ID、角色、可能还有源应用的标识等，然后将JWT返回给源应用。

图片来源于网络，如有侵权联系删除

2、在源应用中的使用

- 源应用接收到JWT后，会将其存储起来，通常是存储在浏览器的本地存储（Local Storage）或者会话存储（Session Storage）中，在后续的请求中，源应用会将JWT包含在请求头（如Authorization头）中发送给服务器。

- 源应用的服务器端接收到带有JWT的请求后，首先验证JWT的签名以确保其真实性和完整性，如果验证通过，服务器就可以根据JWT中的载荷信息获取用户身份并进行相应的业务逻辑处理。

3、跨应用登录（单点登录实现）

- 当用户尝试访问另一个受保护的应用程序（目标应用）时，目标应用会检测到用户没有在本应用登录，目标应用会检查浏览器中是否存在有效的JWT（如果之前在源应用登录时生成了JWT并且存储在浏览器中）。

- 如果存在有效的JWT，目标应用会将JWT发送到身份验证服务器（或者可以有一个共享的验证机制直接在目标应用端验证JWT），身份验证服务器（或目标应用的验证逻辑）验证JWT的签名、有效期等信息。

- 如果JWT验证成功，目标应用就可以根据JWT中的信息识别用户身份，完成单点登录过程，无需用户再次输入用户名和密码。

四、JWT单点登录与传统SSO单点登录的对比

1、架构复杂度

- 传统SSO单点登录依赖于中央认证服务器，需要复杂的重定向和票据传递机制，各个应用程序需要与中央认证服务器进行紧密的集成，涉及到较多的网络交互和服务器端逻辑处理，在处理跨域请求时，需要特殊的配置来确保票据的安全传递。

- JWT单点登录相对更加简洁，JWT是自包含的，应用程序只需要验证JWT的签名即可获取用户信息，不需要像传统SSO那样频繁地与中央认证服务器交互来获取用户身份相关信息，这使得应用程序的架构更加松散耦合，降低了对特定中央认证服务器的依赖。

2、可扩展性

图片来源于网络，如有侵权联系删除

- 在传统SSO中，当新增加一个应用程序时，需要在中央认证服务器和新应用程序之间进行一系列的配置和集成工作，包括定义新的服务和票据交换机制等，如果企业有大量的应用程序需要集成到SSO系统中，这个过程会变得非常复杂和耗时。

- JWT单点登录在可扩展性方面具有优势，由于JWT的自包含性，新的应用程序只需要能够验证JWT的签名和解析其载荷即可实现单点登录，不需要对中央服务器进行大量的修改，只要遵循相同的JWT生成和验证规则即可轻松集成到单点登录体系中。

3、安全性

- 传统SSO中的票据（Ticket）如果被窃取，攻击者可能会利用它来冒充用户访问应用程序，虽然有一些安全措施如加密传输等，但仍然存在一定的风险，而且中央认证服务器一旦遭受攻击，可能会影响到所有集成的应用程序的安全性。

- JWT的签名机制提供了一定的安全性保障，如果JWT的签名密钥被妥善保管，即使JWT在传输过程中被截获，攻击者也难以篡改其中的信息，并且JWT可以设置有效期等安全相关的声明，进一步增强了安全性，不过，如果JWT的密钥管理不当，也会带来安全风险。

4、跨平台和跨域支持

- 传统SSO在跨平台和跨域时可能会遇到一些挑战，如不同平台对重定向和Cookie（通常用于保存票据）的支持差异等，在处理移动应用和Web应用混合的场景时，可能需要额外的适配工作。

- JWT由于是基于HTTP头或者其他通用的传输方式，可以更好地支持跨平台和跨域操作，在移动应用中，可以很方便地将JWT存储在本地设备上，并在向服务器发送请求时包含在请求头中，无需担心平台特定的限制。

JWT为单点登录提供了一种新颖、高效且相对灵活的解决方案，在现代的分布式系统和多应用集成场景中具有很大的优势，虽然它也需要注意密钥管理等安全问题，但与传统的SSO单点登录相比，在很多方面都表现出了独特的价值。

标签： #jwt #sso #单点登录 #实现