中國專業(yè)IT外包服務(wù)

加入收藏??

公司微博

網(wǎng)站地圖??

IT外包價格計算器

您當(dāng)前位置：主頁 > IT服務(wù) > 服務(wù)器服務(wù) >

單點(diǎn)登陸原理及實現(xiàn)

2020-02-06 16:09 作者：admin 瀏覽量：

這次的肺炎疫情對中國的中小企業(yè)將會是沉重的打擊，據(jù)釘釘和微信兩個辦公平臺數(shù)據(jù)統(tǒng)計現(xiàn)有2億左右的人在家遠(yuǎn)程辦公，那么對于中小企業(yè)的員工來說不懂IT技術(shù)將會讓他們面臨的最大挑戰(zhàn)和困難。

電腦不亮了怎么辦？系統(tǒng)藍(lán)屏如何處理？辦公室的電腦在家如何連接？網(wǎng)絡(luò)應(yīng)該如何設(shè)置？VPN如何搭建？數(shù)據(jù)如何對接？服務(wù)器如何登錄？數(shù)據(jù)安全如何保證？數(shù)據(jù)如何存儲？視頻會議如何搭建？業(yè)務(wù)系統(tǒng)如何開啟等等一系列的問題，都會困擾著并非技術(shù)出身的您。

好消息是當(dāng)您看到這篇文章的時候，就不用再為上述的問題而苦惱，您只需撥打艾銻無限的全國免費(fèi)熱線電話:400 650 7820，就會有我們的遠(yuǎn)程工程師為您解決遇到的問題，他們可以遠(yuǎn)程幫您處理遇到的一些IT技術(shù)難題。

如遇到免費(fèi)熱線占線，您還可以撥打我們的24小時值班經(jīng)理電話:15601064618或技術(shù)經(jīng)理的電話:13041036957，我們會在第一時間接聽您的來電，為您提供適合的解決方案，讓您無論在家還是在企業(yè)都能無憂辦公。

那艾銻無限具體能為您的企業(yè)提供哪些服務(wù)呢？

艾銻無限始創(chuàng)于2005年，歷經(jīng)15年服務(wù)了5000多家中小企業(yè)并保障了幾十萬臺設(shè)備的正常運(yùn)轉(zhuǎn)，積累了豐富的企業(yè)IT緊急問題和特殊故障的解決經(jīng)驗，制定了相對應(yīng)的解決方案。我們?yōu)槟钠髽I(yè)提供的IT服務(wù)分為三大版塊:

第一版塊是保障性IT外包服務(wù):如電腦設(shè)備運(yùn)維，辦公設(shè)備運(yùn)維，網(wǎng)絡(luò)設(shè)備運(yùn)維，服務(wù)器運(yùn)維等綜合性企業(yè)IT設(shè)備運(yùn)維服務(wù)。

第二版塊是功能性互聯(lián)網(wǎng)外包服務(wù):如網(wǎng)站開發(fā)外包，小程序開發(fā)外包，APP開發(fā)外包，電商平臺開發(fā)外包，業(yè)務(wù)系統(tǒng)的開發(fā)外包和后期的運(yùn)維外包服務(wù)。

第三版塊是增值性云服務(wù)外包:如企業(yè)郵箱上云，企業(yè)網(wǎng)站上云，企業(yè)存儲上云，企業(yè)APP小程序上云，企業(yè)業(yè)務(wù)系統(tǒng)上云，阿里云產(chǎn)品等后續(xù)的云運(yùn)維外包服務(wù)。

您要了解更多服務(wù)也可以登錄艾銻無限的官網(wǎng):www.bjitwx.com查看詳細(xì)說明，在疫情期間，您企業(yè)遇到的任何困境只要找到艾銻無限，能免費(fèi)為您提供服務(wù)的我們絕不收一分錢，我們?nèi)w艾銻人承諾此活動直到中國疫情結(jié)束,我們將這次活動稱為——春雷行動。

以下還有我們?yōu)槟峁┑囊恍┘夹g(shù)資訊，以便可以幫助您更好的了解相關(guān)的IT知識，幫您渡過疫情中辦公遇到的困難和挑戰(zhàn)，艾銻無限愿和中國中小企業(yè)一起共進(jìn)退，因為我們相信萬物同體，能量合一，只要我們一起齊心協(xié)力，一定會成功。再一次祝福您和您的企業(yè)，戰(zhàn)勝疫情，您和您的企業(yè)一定行。

北京艾銻無限告訴您：單點(diǎn)登陸原理及實現(xiàn)

單點(diǎn)登錄（Single Sign On），簡稱為 SSO，是比較流行的企業(yè)業(yè)務(wù)整合的解決方案之一。SSO的定義是在多個應(yīng)用系統(tǒng)中，用戶只需要登錄一次就可以訪問所有相互信任的應(yīng)用系統(tǒng)。

很早期的公司，一家公司可能只有一個Server，慢慢的Server開始變多了。每個Server都要進(jìn)行注冊登錄，退出的時候又要一個個退出。用戶體驗很不好！你可以想象一下，上豆瓣要登錄豆瓣FM、豆瓣讀書、豆瓣電影、豆瓣日記......真的會讓人崩潰的。我們想要另一種登錄體驗：一家企業(yè)下的服務(wù)只要一次注冊，登錄的時候只要一次登錄，退出的時候只要一次退出。怎么做？

一次注冊。一次注冊不難，想一下是不是只要Server之間同步用戶信息就行了？可以，但這樣描述不太完整，后續(xù)講用戶注冊的時候詳細(xì)說。實際上用戶信息的管理才是SSO真正的難點(diǎn)，只是作為初學(xué)者，我們的難點(diǎn)在于實現(xiàn)SSO的技術(shù)！我們先討論實現(xiàn)手段。

一次登錄與一次退出。回頭看看普通商場的故事，什么東西才是保持登錄狀態(tài)關(guān)鍵的東西？記錄器（session）？那種叫做cookie的紙張？寫在紙張上的ID? 是session里面記錄的信息跟那個ID，cookie不只是記錄ID的工具而已。客戶端持有ID，服務(wù)端持有session，兩者一起用來保持登錄狀態(tài)?？蛻舳诵枰肐D來作為憑證，而服務(wù)端需要用session來驗證ID的有效性（ID可能過期、可能根本就是偽造的找不到對應(yīng)的信息、ID下對應(yīng)的客戶端還沒有進(jìn)行登錄驗證等）。但是session這東西一開始是每個server自己獨(dú)有的，豆瓣FM有自己的session、豆瓣讀書有自己的session，而記錄ID的cookie又是不能跨域的。所以，我們要實現(xiàn)一次登錄一次退出，只需要想辦法讓各個server的共用一個session的信息，讓客戶端在各個域名下都能持有這個ID就好了。再進(jìn)一步講，只要各個server拿到同一個ID，都能有辦法檢驗出ID的有效性、并且能得到ID對應(yīng)的用戶信息就行了，也就是能檢驗ID

最簡單的單點(diǎn)登錄實現(xiàn)方式，是使用cookie作為媒介，存放用戶憑證。

用戶登錄父應(yīng)用之后，應(yīng)用返回一個加密的cookie，當(dāng)用戶訪問子應(yīng)用的時候，攜帶上這個cookie，授權(quán)應(yīng)用解密cookie并進(jìn)行校驗，校驗通過則登錄當(dāng)前用戶。

不難發(fā)現(xiàn)以上方式把信任存儲在客戶端的Cookie中，這種方式很容易令人質(zhì)疑：

Cookie不安全

不能跨域?qū)崿F(xiàn)免登

對于第一個問題，通過加密Cookie可以保證安全性，當(dāng)然這是在源代碼不泄露的前提下。如果Cookie的加密算法泄露，攻擊者通過偽造Cookie則可以偽造特定用戶身份，這是很危險的。

對于第二個問題，更是硬傷。

對于跨域問題，可以使用JSONP實現(xiàn)。

用戶在父應(yīng)用中登錄后，跟Session匹配的Cookie會存到客戶端中，當(dāng)用戶需要登錄子應(yīng)用的時候，授權(quán)應(yīng)用訪問父應(yīng)用提供的JSONP接口，并在請求中帶上父應(yīng)用域名下的Cookie，父應(yīng)用接收到請求，驗證用戶的登錄狀態(tài)，返回加密的信息，子應(yīng)用通過解析返回來的加密信息來驗證用戶，如果通過驗證則登錄用戶。

這種方式雖然能解決跨域問題，但是安全性其實跟把信任存儲到Cookie是差不多的。如果一旦加密算法泄露了，攻擊者可以在本地建立一個實現(xiàn)了登錄接口的假冒父應(yīng)用，通過綁定Host來把子應(yīng)用發(fā)起的請求指向本地的假冒父應(yīng)用，并作出回應(yīng)。

因為攻擊者完全可以按照加密算法來偽造響應(yīng)請求，子應(yīng)用接收到這個響應(yīng)之后一樣可以通過驗證，并且登錄特定用戶。

最后一種介紹的方式，是通過父應(yīng)用和子應(yīng)用來回重定向中進(jìn)行通信，實現(xiàn)信息的安全傳遞。

父應(yīng)用提供一個GET方式的登錄接口，用戶通過子應(yīng)用重定向連接的方式訪問這個接口，如果用戶還沒有登錄，則返回一個的登錄頁面，用戶輸入賬號密碼進(jìn)行登錄。如果用戶已經(jīng)登錄了，則生成加密的Token，并且重定向到子應(yīng)用提供的驗證Token的接口，通過解密和校驗之后，子應(yīng)用登錄當(dāng)前用戶。

這種方式較前面兩種方式，接解決了上面兩種方法暴露出來的安全性問題和跨域的問題，但是并沒有前面兩種方式方便。

安全與方便，本來就是一對矛盾。

使用獨(dú)立登錄系統(tǒng)

一般說來，大型應(yīng)用會把授權(quán)的邏輯與用戶信息的相關(guān)邏輯獨(dú)立成一個應(yīng)用，稱為用戶中心。

用戶中心不處理業(yè)務(wù)邏輯，只是處理用戶信息的管理以及授權(quán)給第三方應(yīng)用。第三方應(yīng)用需要登錄的時候，則把用戶的登錄請求轉(zhuǎn)發(fā)給用戶中心進(jìn)行處理，用戶處理完畢返回憑證，第三方應(yīng)用驗證憑證，通過后就登錄用戶。

分享到:

上一篇：微軟發(fā)布Win10新技術(shù)預(yù)覽版修復(fù)近7000漏洞

下一篇：負(fù)載均衡的幾種軟硬件形式特點(diǎn)

相關(guān)文章