单点登录三种方式，单点登录简单实现

《单点登录的三种实现方式全解析》

一、基于Cookie的单点登录

图片来源于网络，如有侵权联系删除

（一）原理

基于Cookie的单点登录利用了浏览器对Cookie的管理机制，当用户在一个应用（称为源应用）登录成功后，服务器会在响应中设置一个特定的Cookie，这个Cookie包含了用户的身份标识信息，如用户ID等，当用户访问其他关联应用（目标应用）时，浏览器会自动带上这个Cookie，目标应用的服务器接收到请求后，读取Cookie中的身份标识，然后通过与单点登录服务器或者自身的验证机制交互，确认用户的登录状态。

（二）实现步骤

1、登录源应用

- 用户在源应用的登录页面输入用户名和密码。

- 源应用将用户信息发送到认证服务器进行验证。

- 认证成功后，认证服务器生成包含用户身份标识的Cookie，并将其设置在源应用的响应中返回给浏览器。

2、访问目标应用

- 用户在浏览器中访问目标应用。

- 浏览器自动将源应用设置的Cookie包含在请求中发送给目标应用。

- 目标应用接收到请求后，从Cookie中提取用户身份标识，向认证服务器或者自身的验证逻辑发送验证请求，验证通过则允许用户访问目标应用。

（三）优缺点

优点：

- 实现相对简单，不需要复杂的协议交互。

- 对于同域名或者信任的子域名下的应用，Cookie的传递非常方便。

缺点：

- 存在安全风险，Cookie可能被窃取或者篡改。

- 跨域访问时，由于浏览器的同源策略，需要特殊的配置，如设置CORS（跨域资源共享）等，增加了复杂性。

二、基于SAML（安全断言标记语言）的单点登录

（一）原理

SAML是一种基于XML的开放标准，用于在不同的安全域之间交换认证和授权数据，在单点登录场景中，有三个主要角色：身份提供者（IdP）、服务提供者（SP）和用户，当用户尝试访问SP提供的服务时，SP会将用户重定向到IdP进行登录，IdP验证用户身份后，会生成一个包含用户身份信息和授权信息的SAML断言，然后将用户重定向回SP，并将SAML断言传递给SP，SP解析SAML断言，验证其签名等信息，确定用户的登录状态并提供相应服务。

（二）实现步骤

图片来源于网络，如有侵权联系删除

1、配置IdP和SP

- 在IdP端，配置用户数据源、认证方式等。

- 在SP端，配置与IdP的连接信息，包括IdP的元数据（如IdP的地址、公钥等）。

2、用户访问SP

- 用户请求访问SP的服务，SP发现用户未登录，将用户重定向到IdP的登录页面，并带上一个SAML请求，指示请求的来源等信息。

3、IdP验证与断言生成

- IdP接收到请求后，验证用户身份（通过用户名/密码、多因素认证等方式）。

- 验证成功后，IdP根据用户身份和授权信息生成SAML断言，使用私钥对断言签名。

4、重定向回SP

- IdP将用户重定向回SP，并将SAML断言作为参数传递。

5、SP验证断言

- SP接收到用户和SAML断言后，使用IdP的公钥验证断言的签名。

- 验证通过后，SP解析断言中的用户身份和授权信息，允许用户访问服务。

（三）优缺点

优点：

- 跨安全域的安全性高，通过数字签名等机制保证数据的完整性和真实性。

- 被广泛支持，适用于企业级的多系统集成。

缺点：

- 实现复杂，需要深入理解SAML规范，配置多个实体之间的交互。

- XML格式的数据处理相对复杂，性能可能受到一定影响。

三、基于OAuth/OIDC（开放授权/开放ID连接）的单点登录

（一）原理

图片来源于网络，如有侵权联系删除

OAuth是一种授权框架，而OIDC是在OAuth基础上构建的身份验证层，在单点登录中，有授权服务器、资源服务器和客户端（应用）等角色，用户在客户端应用登录时，客户端将用户重定向到授权服务器，授权服务器验证用户身份后，会根据客户端的请求范围（如获取用户基本信息、访问特定资源等）颁发一个访问令牌（Access Token），如果是OIDC，还会颁发一个ID令牌（ID Token），其中包含用户身份信息，客户端应用使用访问令牌向资源服务器请求资源，资源服务器验证令牌后提供相应资源。

（二）实现步骤

1、注册客户端

- 客户端应用在授权服务器注册，提供应用的名称、重定向URI等信息。

2、用户登录

- 用户在客户端应用发起登录请求，客户端将用户重定向到授权服务器的登录页面，并带上客户端标识等参数。

3、授权服务器验证

- 授权服务器验证用户身份，根据客户端的请求范围生成访问令牌和（如果是OIDC）ID令牌。

4、重定向回客户端

- 授权服务器将用户重定向回客户端，并将令牌传递给客户端（通常通过URL的片段或者POST消息）。

5、客户端使用令牌

- 客户端解析令牌，使用访问令牌向资源服务器请求资源，资源服务器验证令牌的有效性（如签名、有效期等），如果有效则提供资源。

（三）优缺点

优点：

- 高度灵活，适用于多种类型的客户端（如Web应用、移动应用等）。

- 专注于授权和身份验证分离，可方便地集成第三方服务。

缺点：

- 协议相对复杂，有多种流程（如授权码流程、隐式流程等）需要理解和正确实现。

- 安全性要求高，令牌的管理和保护至关重要，否则可能导致安全漏洞。

标签： #单点登录 #三种方式 #简单实现 #登录方式