單點登錄

很早期的公司，一家公司可能只有一個Server，慢慢地Server開始變多了。每個Server都要進行註冊登錄，退出的時候又要一個個退出，這樣的用户體驗很不好。可以想象一下，上豆瓣 要登錄豆瓣FM、豆瓣讀書、豆瓣電影、豆瓣日記......真的會讓人崩潰。更好的登錄體驗是：一家企業下的服務只要一次註冊，登錄的時候只要一次登錄，退出的時候只要一次退出。

一次註冊。 一次註冊不難，想一下是不是隻要Server之間同步用户信息就行了？可以，但這樣描述不太完整，後續講用户註冊的時候詳細説。實際上用户信息的管理才是SSO真正的難點，只是作為初學者，難點在於實現SSO的技術。

一次登錄與一次退出。 回頭看看普通商場的故事，什麼東西才是保持登錄狀態關鍵的東西？記錄器（session）？那種叫作cookie的紙張？寫在紙張上的ID? 是session裏面記錄的信息跟那個ID，cookie不只是記錄ID的工具而已。客户端持有ID，服務端持有session，兩者一起用來保持登錄狀態。客户端需要用ID來作為憑證，而服務端需要用session來驗證ID的有效性（ID可能過期、可能根本就是偽造的找不到對應的信息、ID下對應的客户端還沒有進行登錄驗證等）。但是session這東西一開始是每個server自己獨有的，豆瓣FM有自己的session、豆瓣讀書有自己的session，而記錄ID的cookie又是不能跨域的。所以，要實現一次登錄一次退出，只需要想辦法讓各個server的共用一個session的信息，讓客户端在各個域名下都能持有這個ID就好了。再進一步講，只要各個server拿到同一個ID，都能有辦法檢驗出ID的有效性、並且能得到ID對應的用户信息就行了，也就是能檢驗ID ^[1]  。

以server羣如何生成、驗證ID的方式大致分為兩種：

通常情況下運維內控審計系統、4A系統都包含此項功能，目的是簡化賬號登錄過程並保護賬號和密碼安全，對賬號進行統一管理。

企業應用集成（EAI, Enterprise Application Integration）。企業應用集成可以在不同層面上進行：例如在數據存儲層面上的“數據大集中”，在傳輸層面上的“通用數據交換平台”，在應用層面上的“業務流程整合”，和用户界面上的“通用企業門户”等等。事實上，還有一個層面上的集成變得越來越重要，那就是“身份認證”的整合，也就是“單點登錄”。

在信息安全管理中，訪問控制(Access Controls)環繞四個過程：Identification；Authentication；Authorization；Accountability。單點登錄（Single Sign On）屬於Authentication認證系統，除單點登錄外還包括：Lightweight Directory Access Protocol 和 Authorization ticket。（Michael E. Whitman (2011) Management Of Information Security Kennesaw University) ^[3]  。

當用户第一次訪問應用系統的時候，因為還沒有登錄，會被引導到認證系統中進行登錄；根據用户提供的登錄信息，認證系統進行身份校驗，如果通過校驗，應該返回給用户一個認證的憑據－－ticket；用户再訪問別的應用的時候，就會將這個ticket帶上，作為自己認證的憑據，應用系統接受到請求之後會把ticket送到認證系統進行校驗，檢查ticket的合法性。如果通過校驗，用户就可以在不用再次登錄的情況下訪問應用系統2和應用系統3了。

要實現SSO，需要以下主要的功能：

1）提高用户的效率。

用户不再被多次登錄困擾，也不需要記住多個 ID 和密碼。另外，用户忘記密碼並求助於支持人員的情況也會減少。

2）提高開發人員的效率。

SSO 為開發人員提供了一個通用的身份驗證框架。實際上，如果 SSO 機制是獨立的，那麼開發人員就完全不需要為身份驗證操心。他們可以假設，只要對應用程序的請求附帶一個用户名，身份驗證就已經完成了。

3）簡化管理。

如果應用程序加入了單點登錄協議，管理用户賬號的負擔就會減輕。簡化的程度取決於應用程序，因為 SSO 只處理身份驗證。所以，應用程序可能仍然需要設置用户的屬性（比如訪問特權）。

1）不利於重構

因為涉及到的系統很多，要重構必須要兼容所有的系統，可能很耗時。

2） 無人看守桌面

因為只需要登錄一次，所有的授權的應用系統都可以訪問，可能導致一些很重要的信息泄露。