[轉載]單點登錄SSO:概述與示例

来源:https://www.cnblogs.com/shem-blog/archive/2018/10/30/9875533.html
-Advertisement-
Play Games

原文地址: "https://www.cnblogs.com/baibaomen/p/sso.html" <! h1, h2 { padding left: 2rem; color: rgb(71, 91, 204); } h1.title { font size: 22px !important; ...


原文地址: https://www.cnblogs.com/baibaomen/p/sso.html

 

單點登錄SSO概述

本系列將由淺入深的,帶大家掌握最新單點登錄SSO方案選型,以及架構開發實戰。系列將結合示例、源碼以及演示視頻,讓大家能夠直觀、深入學習。

文末附5個滿足不同單點登錄場景的gif動畫演示。本系列後繼文章會深入它們的實現方式以及適用場景,大家也可以先觀看揣摩其實現。

 

 

單點登錄即Single Sign On(SSO)。它是大型政府OA、企事業單位OA的標配解決方案。它概言之就是在多個Web、桌面或移動應用系統中,用戶只需要登錄一次,就可以訪問所有的應用系統。

從業十多年,為政府、電信、跨國公司顧問和實施的單點登錄解決方案無數,深諳其痛點與關鍵。

和很多人直觀猜測相反,單點登錄方案的定製性很強。很多企業的單點登錄,實施是有問題的。尤其是被一些軟體產品的銷售人員牽著走的企業,它的單點登錄方案實施,從產品方案選型起就存在根本性問題。這些方案常常要求大量現有業務系統的改造(基於統一身份認證服務,採用OpenId,OAuth,SAML等技術創建和傳遞認證憑據),或者只是體驗較差的類似瀏覽器自動填充賬號密碼的功能(如Oracle的ESSO)。它們要麼改動面大、周期長,要麼服務端和客戶端局限性多,用戶體驗也達不到最佳。

事實上,單點登錄的實施環境與需求千差萬別:有純Web的(常見又分跨域不跨域的),有桌面應用的,有移動平臺的,有要結合Windows登錄憑據的,有整合了標準方案的,有不能改動現存系統的,等等等等。最適合企業的方案,一定需要結合企業應用種類、各系統供應商狀況、終端要求、後期擴展性需求、實施成本工期來具體確定。

很多單點登錄解決方案的實施,由於顧問的經驗、視野或產品傾向性原因,往往導致了這些結果:

1. 明明可以不需要改造被集成系統的,偏偏處處受困於諸多被集成系統的改造。

這個是很多開源免費或者商用的單點登錄產品,在實施時最普遍遇到的情況。它們往往基於統一身份認證服務,採用OpenId,OAuth,SAML等技術創建和傳遞認證憑據,要求各個被集成應用按照相應介面開發。對於不同廠商在不同技術平臺、不同維護時間、不同業務場景下構造的多個系統,要求統一按照方案介面標準做改造,其難度可想而知。見過不止一家廠商,他們的業務系統在客戶那邊已經上線運行,客戶後來提出單點登錄的集成要求,於是為了快速完工,完全不遵循業界安全規範,採用最簡單暴力的方式進行集成,結果導致嚴重的安全漏洞。

其實,百分之九十以上的業務場景,我們都可以通過不止一種方式,在不改造現有系統的情況下,實現它對單點登錄的支持。下文會給出多個示例、github源碼,以及演示視頻。

2. 明明可以在移動端、桌面端實現跨平臺單點登錄的,偏偏依賴於特定終端,甚至特定瀏覽器。

有一家跨國公司,選型某知名軟體做單點登錄解決方案,它的優點是對被集成系統可以零改造,但只支持Windows終端,因為它有一個Windows程式要安裝到每個用戶機器上。我作為實施顧問參與時,發現其中絕大部分用戶常用的系統都是幾個Web系統,完全可以通過實施服務端零改造的SSO方案,避免向他們機器推送一個要按終端數購買授權的應用。這類應用不但授權費用高昂(每終端數千元),而且部署維護成本高、很多設備環境和個性化瀏覽器下會出相容性問題。

3. 明明可以和統一身份認證(Identity Authentication)、統一身份管理(Identity Management)分開實施的,偏偏被“忽悠”買了數百萬的打包解決方案。

SSO和這兩者在應用場景和一些實施方案上有交集,使得很多實施顧問會利用這點,讓很多企業不明就裡的“明明只想剪個頭髮,結果買了美容保養年卡,而且頭髮還剪得不好”。

統一身份認證,往往和多個Web應用基於服務端做SSO的方案綁定銷售。對於有多個Web應用要做服務端SSO的,尤其是包含多個跨一級功能變數名稱應用的,常常被推薦部署獨立的統一身份認證服務產品,然後讓各個應用針對它的介面做開發集成。讓各個Web或桌面、移動應用,集成、識別並認可其認證憑據,還要和該伺服器安全交換用戶身份信息,是一個不小的挑戰。現有各個系統的服務商是否還會及時的配合開發本身已是一個大問題,即使他們配合,在一個環節出現問題就會是嚴重的安全漏洞。

統一身份管理主要是針對企業賬戶安全領域。它的主要作用,簡而言之就是在一個地方管理所有系統賬號的創建和終止,避免一個員工離職要到多個應用管理部門做賬號刪除,很容易出現漏刪賬號,導致企業信息安全問題。針對很多大型組織架構來講,它確實也非常必要,我個人實施顧問的很多企業確實也非常需要,後面我會撰文詳述這一塊的經驗心得。這方面現成產品有諸如Oracle的OIM,IBM的Tivoli IM,都是光買授權就動輒上百萬的產品(具體費用和用戶數、伺服器等相關),它們的特點是針對很多大型應用諸如SAP、Lotus Notes等等都有現成的連接器來做賬號資源的推拉(Provision/Reconciliation)。但對於沒有現成連接器的產品,需要定製開發,這塊對於實施人員要求很高,而且後期的維護、新應用的集成基本都完全依賴第三方,成本高昂。

4. 明明可以精幹團隊一個月實施完的,偏偏勞師動眾多個供應商、多個部門折騰三四個月。

SSO實施和業務系統開發不同,它是技術點密集但工作量少的業務。如果你的開發人員還要為“如何跨域傳token”、“如何讀寫AD”之類現學摸索,那實施結果往往存在較大安全漏洞,也會導致工期不可預測。這一塊的很多現成產品都有特定的實施要求和局限性(本人曾填坑Oracle的OIM 和 ESSO),加之實施人員對產品熟悉程度不一,導致企業稍有自身特定的情況,就會要花費大量工時研究調整,甚至最終無法按需交付。

單點登錄SSO方案示例

先來幾組單點登錄方案演示吧,本系列後繼文章會深入它們的具體實現方式以及適用場景。 

演示一:零改造單點登錄CSDN、百度

零改造實施CSDN、百度單點登錄|手把手教單點登錄|百寶門-SSO顧問|baibaomen@gmail.com

演示二: 單點註銷

單點註銷|手把手教單點登錄|百寶門-SSO顧問|baibaomen@gmail.com

演示三:集成AD認證

集成AD認證|手把手教單點登錄|百寶門-SSO顧問|baibaomen@gmail.com

演示四:客戶端單點登錄QQ、VPN

客戶端單點登錄|手把手教單點登錄|百寶門-SSO顧問|baibaomen@gmail.com

演示五:移動端單點登錄

移動端單點登錄|手把手教單點登錄|百寶門-SSO顧問|baibaomen@gmail.com

原文地址:http://www.cnblogs.com/baibaomen/p/sso.html 。轉載須保留本鏈接。

本系列各篇鏈接:

單點登錄-SSO:概述與示例 http://www.cnblogs.com/baibaomen/p/sso.html

單點登錄-SSO:圖示和講解 http://www.cnblogs.com/baibaomen/p/sso-sequence-chart.html

單點登錄-SSO:一鍵運行的完整代碼 http://www.cnblogs.com/baibaomen/p/sso-full-code.html

 

本作品採用知識共用署名-非商業性使用-相同方式共用 2.5 中國大陸許可協議進行許可。

我的博客歡迎複製共用,但在同時,請保留原文地址以及我的署名權百寶門-SSO顧問,並且,不得用於商業用途。

如您有任何疑問或者授權方面的協商,請給我郵件。 


博客園專欄:
百寶門-SSO顧問

我的公眾號“百寶門”



 


您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • $("#savebtn").on({ touchstart: function (e) { // 長按事件觸發 timeOutEvent = setTimeout(function () { timeOutEvent = 0; save(); ... ...
  • 1.邏輯運算 || && ! 1||2 5&&4 !0 || 遇到第一個為true的數字就終止並返回 && 遇到第一個為false的值 就終止 返回false的值,如果沒有false就返回最後那個數 ||和&&在一起 &&的優先順序比較高 高於|| 2.作用域的問題 1.Js代碼如何執行 2.js環境 ...
  • 1、中文和英文: ^[a-zA-Z\u4E00-\u9FA5]+$ 2、中文、英文、數字: ^[a-zA-Z0-9\u4e00-\u9fa5]+$ 3、純數字: ^[0-9]*$ 4、電話(座機和手機號): (^([0-9]{3,4}-)?[0-9]{7,8}$)|(^(0|86|17951)?(1... ...
  • 前陣子用了bootstrapvalidate寫了一個登錄驗證,這裡小記一筆 首先需要引入 bootstrapValidator.css //可不引入 jquery-2.1.0.min.js bootstrap.min.js bootstrapValidator.js 下麵是校驗方式 其中校驗的兩個文 ...
  • 最近在看廖雪峰的JS課程,瀏覽器中的操作DOM的那一章,有這樣一道題。 JavaScript Swift HTML ANSI C CSS DirectX 把與Web開發技術不相關的節點刪掉。 我的答案過於複雜,我上網百度後,發現了這樣的解法。 js 'use strict'; var parent ...
  • 學習jQuery源碼,我主要是通過妙味視頻上學習的。這裡將所有的源碼分析,還有一些自己弄懂過程中的方法及示例整理出來,供大家參考。 我用的jquery v2.0.3版本。 正則表達式的分析: 解析: 判斷是否為HTML標簽或 id,例如<div>或 top x|y 表示匹配x或者y 這裡 ...
  • javascript // js源碼在構造函數創建完就自動生成了 function Aaa(){}; Aaa.prototype.constructor = Aaa; var a = new Aaa(); alert(a.constructor); // function Aaa(){}; Aaa. ...
  • 效果圖: 預設顯示最新一條數據: 點擊顯示所有數據: 代碼: 說明:這裡主要是 這塊用來控制顯示或者隱藏 根據當前點擊的 這個方法里傳遞的index 對應 isShow 數組裡的index ,對應起來後,取到數組裡的true/false值,控制列表的顯示和隱藏 說明:isShow這個數組就是添加所有 ...
一周排行
    -Advertisement-
    Play Games
  • 移動開發(一):使用.NET MAUI開發第一個安卓APP 對於工作多年的C#程式員來說,近來想嘗試開發一款安卓APP,考慮了很久最終選擇使用.NET MAUI這個微軟官方的框架來嘗試體驗開發安卓APP,畢竟是使用Visual Studio開發工具,使用起來也比較的順手,結合微軟官方的教程進行了安卓 ...
  • 前言 QuestPDF 是一個開源 .NET 庫,用於生成 PDF 文檔。使用了C# Fluent API方式可簡化開發、減少錯誤並提高工作效率。利用它可以輕鬆生成 PDF 報告、發票、導出文件等。 項目介紹 QuestPDF 是一個革命性的開源 .NET 庫,它徹底改變了我們生成 PDF 文檔的方 ...
  • 項目地址 項目後端地址: https://github.com/ZyPLJ/ZYTteeHole 項目前端頁面地址: ZyPLJ/TreeHoleVue (github.com) https://github.com/ZyPLJ/TreeHoleVue 目前項目測試訪問地址: http://tree ...
  • 話不多說,直接開乾 一.下載 1.官方鏈接下載: https://www.microsoft.com/zh-cn/sql-server/sql-server-downloads 2.在下載目錄中找到下麵這個小的安裝包 SQL2022-SSEI-Dev.exe,運行開始下載SQL server; 二. ...
  • 前言 隨著物聯網(IoT)技術的迅猛發展,MQTT(消息隊列遙測傳輸)協議憑藉其輕量級和高效性,已成為眾多物聯網應用的首選通信標準。 MQTTnet 作為一個高性能的 .NET 開源庫,為 .NET 平臺上的 MQTT 客戶端與伺服器開發提供了強大的支持。 本文將全面介紹 MQTTnet 的核心功能 ...
  • Serilog支持多種接收器用於日誌存儲,增強器用於添加屬性,LogContext管理動態屬性,支持多種輸出格式包括純文本、JSON及ExpressionTemplate。還提供了自定義格式化選項,適用於不同需求。 ...
  • 目錄簡介獲取 HTML 文檔解析 HTML 文檔測試參考文章 簡介 動態內容網站使用 JavaScript 腳本動態檢索和渲染數據,爬取信息時需要模擬瀏覽器行為,否則獲取到的源碼基本是空的。 本文使用的爬取步驟如下: 使用 Selenium 獲取渲染後的 HTML 文檔 使用 HtmlAgility ...
  • 1.前言 什麼是熱更新 游戲或者軟體更新時,無需重新下載客戶端進行安裝,而是在應用程式啟動的情況下,在內部進行資源或者代碼更新 Unity目前常用熱更新解決方案 HybridCLR,Xlua,ILRuntime等 Unity目前常用資源管理解決方案 AssetBundles,Addressable, ...
  • 本文章主要是在C# ASP.NET Core Web API框架實現向手機發送驗證碼簡訊功能。這裡我選擇是一個互億無線簡訊驗證碼平臺,其實像阿裡雲,騰訊雲上面也可以。 首先我們先去 互億無線 https://www.ihuyi.com/api/sms.html 去註冊一個賬號 註冊完成賬號後,它會送 ...
  • 通過以下方式可以高效,並保證數據同步的可靠性 1.API設計 使用RESTful設計,確保API端點明確,並使用適當的HTTP方法(如POST用於創建,PUT用於更新)。 設計清晰的請求和響應模型,以確保客戶端能夠理解預期格式。 2.數據驗證 在伺服器端進行嚴格的數據驗證,確保接收到的數據符合預期格 ...