sso單點登入原理

品牌型號：iPhone 14 pro
系統：iOS 16.1

sso單點登入原理就是通過使用者的一次性鑑別登入。當用戶在身份認證服務器上登入一次以後，即可獲得訪問單點登入系統中其他關聯絡統和應用軟體的許可權，同時這種實現是不需要管理員對使用者的登入狀態或其他資訊進行修改的，這意味著在多個應用系統中，使用者只需一次登入就可以訪問所有相互信任的應用系統，不需要記憶多個口令密碼。單點登入使使用者可以快速訪問網路，從而提高工作效率，同時也能幫助提高系統的安全性。

SSO簡單實現模式：當用戶第一次訪問應用系統1的時候，由於還沒有登入，會被引導到認證系統中進行登入；根據使用者提供的登入資訊，認證系統進行身份認證，如果通過認證，返回給使用者一個認證的憑據Ticket；使用者再訪問別的應用的時候，就會將這個Ticket帶上，作為自己認證的憑據，應用系統接受到請求之後會把Ticket送到認證系統進行效驗，檢查Ticket的合法性。如果通過認證，使用者就可以在不用再次登入的情況下直接訪問應用系統2和應用系統3。

要實現SSO，需要以下主要的功能：

1、系統共享：統一的認證系統是SSO的前提之一。認證系統的主要功能是將使用者的登入資訊和使用者資訊庫相比較，對使用者進行登入認證；認證成功後，認證系統應該生成統一的認證標誌（ticket），返還給使用者。另外，認證系統還應該對ticket進行校驗，判斷其有效性。

2、資訊識別：要實現SSO的功能，讓使用者只登入一次，就必須讓應用系統能夠識別已經登入過的使用者。應用系統應該能對ticket進行識別和提取，通過與認證系統的通訊，能自動判斷當前使用者是否登入過，從而完成單點登入的功能。

另外：

1、單一的使用者資訊資料庫並不是必須的，有許多系統不能將所有的使用者資訊都集中儲存，應該允許使用者資訊放置在不同的儲存中，事實上，只要統一認證系統，統一ticket的產生和校驗，無論使用者資訊儲存在什麼地方，都能實現單點登入。

2、統一的認證系統並不是說只有單個的認證伺服器

當用戶在訪問應用系統1時，由第一個認證伺服器進行認證後，得到由此伺服器產生的ticket。當他訪問應用系統2的時候，認證伺服器2能夠識別此ticket是由第一個伺服器產生的，通過認證伺服器之間標準的通訊協議（例如SAML）來交換認證資訊，仍然能夠完成SSO的功能。

sso單點應用優勢：

1、單點登入：使用者只需登入一次，即可通過單點登入系統（eTrueSSO）訪問後臺的多個應用系統，二次登陸時無需重新輸入使用者名稱和密碼。

2、C/S單點登入解決方案：無需修改任何現有的應用系統服務端和客戶端即可實現C/S單點登入系統。

3、即裝即用：通過簡單的配置，無須使用者修改任何現有B/S、C/S應用系統即可使用。

4、應用靈活性：內嵌金萬維動態域名解析系統（gnHost），可獨立實施，也可結合金萬維異速聯/天聯產品使用。

5、基於角色訪問控制：根據使用者的角色和URL實現訪問控制功能。

6、全面的日誌審計：精確地記錄使用者的日誌，可按日期、地址、使用者、資源等資訊對日誌進行查詢、統計和分析。

7、叢集：通過叢集功能，實現多臺伺服器之間的動態負載均衡。

8、傳輸加密：支援多種對稱和非對稱加密演算法，保證使用者資訊在傳輸過程中不被竊取和篡改。

9、可擴充套件性：對後續的業務系統擴充和擴充套件有良好的相容性。

sso單點應用缺點：

1、不利於重構：因為涉及到的系統很多，要重構必須要相容所有的系統，可能很耗時。

2、無人看守桌面：因為只需要登入一次，所有的授權的應用系統都可以訪問，可能導致一些很重要的資訊洩露。