相关文章推荐：OAuth 2.0 协议应用解析

介绍

单点登录，顾名思义，是指在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。这种技术通过共享用户的登录状态，使得用户在各个系统间无需重复登录，从而极大地提升了用户体验。
一次登录到处撒野

工作原理

单点登录的实现原理相对简单。当用户首次访问某个系统时，该系统会将用户的登录信息发送给认证系统。认证系统验证用户的登录信息后，会生成一个包含用户身份信息、登录状态和过期时间的token，并将该token返回给原系统。原系统在接收到token后，会将其保存起来，并认为用户是已登录状态。当用户再次访问该系统或其他系统时，只需要验证该token的有效性即可。

应用场景

单点登录广泛应用于企业内部，尤其是那些拥有多个业务系统的大型企业。通过单点登录，企业可以将各个系统整合在一起，形成一个统一的登录入口，方便员工快速访问各个系统。此外，单点登录还可以应用于云服务、在线教育、电子商务平台等领域，为用户提供更加便捷、安全的登录体验。

优缺点

优点

方便、其他系统可以考虑使用单点登录作为唯一的入口

缺点

负责单点登录的系统被攻入后，会导致其他系统的附带损失

SSO使用的协议和技术

SSO（单点登录）可通过多种身份验证协议和技术来实现，以下是一些主要的协议和技术：

1. 安全断言标记语言SAML：SAML（Security Assertion Markup Language）是一种基于XML的标准，用于在不同的安全域之间传递身份验证和授权数据。它允许用户在一个应用程序中进行身份验证，然后使用SAML令牌无缝访问其他应用程序。SAML通常用于企业级应用，因为它支持复杂的身份验证和授权需求。

   • 优点：高度安全，支持复杂的身份验证和授权策略。
   • 缺点：实现相对复杂，需要专业的技术人员进行配置和维护。

2. 开放授权OAuth：OAuth（Open Authorization）是一种授权框架，允许第三方应用程序访问用户在另一应用程序上存储的私有资源，而无需将用户名和密码提供给第三方应用程序。OAuth常用于Web API的访问控制。

   • 优点：灵活，支持多种身份验证方式，易于集成。
   • 缺点：主要关注授权而非身份验证，可能需要与其他协议结合使用。

3. OpenID Connect：OpenID Connect（OIDC）是一种基于OAuth 2.0的身份验证协议，提供了简单的登录解决方案，允许客户端验证由认证服务器提供的最终用户的身份，并获取关于最终用户的基本配置文件信息。OIDC常用于实现社交登录。

   • 优点：轻量级，易于实现，支持跨域身份验证。
   • 缺点：可能不如SAML那样支持复杂的身份验证需求。

4. Kerberos：Kerberos是一种网络身份验证协议，用于在计算机网络中安全地验证用户身份。Kerberos常用于内部网络和系统的身份验证。

   • 优点：安全，支持互操作性。
   • 缺点：配置和维护相对复杂，可能不适用于所有环境。

5. 轻量目录访问协议LDAP：LDAP（Lightweight Directory Access Protocol）是一种用于访问和维护分布式目录服务的协议。LDAP常用于存储和查询用户身份信息。

   • 优点：高效，支持大量并发查询。
   • 缺点：可能不适用于所有类型的身份验证需求。

6. 活动目录AD：AD（Active Directory）是Microsoft Windows操作系统的目录服务，用于存储和管理组织中的用户、计算机和其他资源。AD常用于企业内部网络的用户管理和身份验证。

   • 优点：与Windows环境紧密集成，易于管理。
   • 缺点：主要限于Windows环境，可能不适用于跨平台环境。

以上是对SSO使用的协议和技术的简要介绍，每种技术都有其特定的应用场景和优缺点，选择哪种技术取决于具体的业务需求和技术环境。

推荐文章

什么是 SSO（单点登录）？(AWS)：https://aws.amazon.com/cn/what-is/sso/
什么是SSO？(华为云)：https://info.support.huawei.com/info-finder/encyclopedia/zh/SSO.html
OAuth 2.0 协议应用解析：https://www.cnblogs.com/johnvwan/p/15557990.html