1统一认证单点登录系统 SSO 解决方案1 背景在企业网站建设的过程中,多个应用系统一般是在不同的时期开发完成的。各应用系统由于功能侧重、设计方法和开发技术有所不同也就形成了各自独立的用户库和用户认证体系。随着企业网站的发展会出现这样的用户群体:以其中的一个用户为例,他(她)使用网站的多个应用系统,但在每个应用系统中有独立的账号,没有一个整体上的网站用户账号的概念,进入每一个应用系统前都需要以该应用系统的账号来登录。这带给用户不方便的使用感受,用户会想:既然我使用的是同一个企业网站上的应用,为什么不能在一次在网站上登录之后不必再经过应用系统认证直接进入应用系统呢?用户的要求我们称之为"单点登录"。J阖站用户愛盘单点將录应申系统-2应用系统-3应須岳统-I化希望以里点登录有式•g 访问各应朋22 分析在多个拥有各自独立的用户体系的应用系统间实现单点登录,我们要考虑以下的问题:•单点登录系统的实现在各应用系统都采用 B/S 模式这一前提下进行。•需要在各应用系统间统一用户认证标志,用户登录后可以得到用户令牌,各应用系统认可统一的用户令牌。•用户令牌应当是安全加密的,并且要限定时效期。•由于每个应用系统都有自己的用户库,一个用户可能在不同的应用系统中使用不同的账号,因此每个要使用多个应用系统的用户要设置一个统一的用户账号并以此账号进行单点登录,该账号与该用户在各应用系统中的一个账号形成映射关系。•各应用系统可能属于不同的域,因此要实现跨域的单点登录。•已经上线运行的应用系统需要进行改造来支持单点登录,正在开发的应用系统则可以在开发阶段增加对单点登录的支持,但应用系统之间应该是松耦合。•由于各应用系统往往都已经处于稳定运行期,单点登录系统的实现应该对各应用系统的登录认证体系冲击最小,各应用系统原有的登录流程依然可用。•一些应用服务器平台虽然提供对单点登录的支持,但要求应用系统用户认证的设计符合其规范,这对已经处于运行期的应用系统3来说难以实现。3方案以下是系统的整体设计结构:議祿鑿菱®fe 義遞 wws®養…次聲活全网使再单点登录雀理应用注嚴单皿妣号零室磴用至蛭中的联号令雜传输和识刖标准芾罡向服务髀间救襦访问扮;并tf&b 鉅“f*3.1单点登录管理应用我们首先设计单点登录管理应用:绑定羊点.強录昔锂应用应用瑶统中原荷的联号减过怯 h&flrvicr^证绑宦僖皂应冃系红-1应用系琉-2应用孫统-3单点登录輸号4用户在其中注册...
