HTTP是無狀態協議,瀏覽器的每一次請求,服務器都會獨立處理,不與之前或之后的請求產生關聯,所以,任何用戶都可以通過瀏覽器訪問服務器資源。
和機制
其實前文《一文徹底搞懂和》已經非常深入的討論過和了。
是服務器級別的,是瀏覽器級別的。
:瀏覽器第一次請求服務器,服務器創建一個會話,并將會話的id作為響應的一部分發送給瀏覽器,瀏覽器存儲會話id,之后瀏覽器的每一次訪問服務器都會帶上會話id,服務器根據會話id就知道是不是同一個用戶了。
:機制每一次瀏覽器訪問服務器,服務器都要判斷一次會話id,顯然不太合適。于是瀏覽器來維護會話id就是機制。瀏覽器每次訪問服務器都會自動附帶信息。
和機制就可以確保一個用戶登錄到一個系統后,之后的操作在一定時間內就不需要再次登錄系統。
以上的 和 都只適用于單系統,但是系統數量變多成為多系統時,我們總不能訪問一個分支系統就登錄一次吧cas單點登陸下載,于是將這些子系統的域名統一到一個頂級域名中,然后將域設置成頂級域名,于是各個子系統之間就可以共享。
何為單點登錄? 是什么
單點登錄全稱 sign on,簡稱 SSO,指在多系統應用群中登錄一個系統,便可在其他所有系統中得到授權而無需再次登錄,包括單點登錄和單點注銷兩部分。比如你用阿里系產品,你一旦打開瀏覽器登陸過淘寶網,接下來你會發現你再打開天貓,其竟然自動登錄了!
從哪來
由于共享 有很多局限性。例如:域名難以統一,子系統技術難以統一。所以,需要一種全新的登錄方式實現多系統應用群的登錄 單點登錄。
單點登錄實現原理 登錄
sso需要一個 獨立的認證中心,只有認證中心能接受用戶的用戶名密碼等安全信息,其他系統不提供登錄入口,只接受認證中心的間接授權。間接授權通過令牌實現,sso認證中心驗證用戶的用戶名密碼沒問題,創建授權令牌,在接下來的跳轉過程中,授權令牌作為參數發送給各個子系統,子系統拿到令牌,即得到了授權,可以借此創建局部會話,局部會話登錄方式與單系統的登錄方式相同。具體過程如圖所示:
操作步驟如下:
用戶訪問系統1的受保護資源,系統1發現用戶未登錄,跳轉至sso認證中心,并將自己的地址作為參數。sso認證中心發現用戶未登錄,將用戶引導至登錄頁面。用戶輸入用戶名和密碼提交登錄申請。sso認證中心校驗用戶信息,創建用戶和sso認證中心之間的會話,稱為全局會話,同時創建授權令牌。sso認證中心帶著令牌跳轉回最初的請求地址(系統1)。系統1拿到令牌,去sso認證中心校驗令牌是否有效。sso認證中心拿到令牌,返回有效,注冊系統1。系統1使用該令牌創建于用戶的會話,稱為局部會話,返回受保護資源。用戶訪問系統2的受保護資源系統2發現用戶未登錄,跳轉至sso認證中心,并將自己的地址作為參數。sso認證中心發現用戶已登錄,跳轉回系統2的地址cas單點登陸下載,并附上令牌。系統2拿到令牌,去sso認證中心校驗令牌是否有效。sso認證中心拿到令牌,返回有效,注冊系統2。系統2使用該令牌創建與用戶的局部會話,返回受保護資源 基于框架實現單點登錄
在強大的全家桶面前,單點登錄的代碼實現變得非常容易,這在前文《基于 的SSO單點登錄+JWT權限控制實踐》已經實現過,源碼都已經給出,可以直接參考。
