单点登录

现阶段互联网中拥有着大量的应用系统，极大地提升了大家的工作效率与生活质量。然而大量的应用系统拥有着不同的认证与授权模式，这使得用户需要大量记忆用户名与口令，并多次登录和注册所需要使用的系统，这使得用户的使用体验非常的糟糕。因此，单点登录系统(SSO，Single Sign-On)应运而生。

常见的应用有两种情况：

• 在一个单位中，需要使用多个功能不同的系统应用，比如企业会有专门的财务系统，销售的CRM系统，人事的OA、邮箱系统，如果每个系统都用独立的账号认证体系，会给员工带来很大困扰，同时不方便管理。所以需要设计一种统一登录的解决方案。
• 现在是App爆炸的时代，如果每个App都需要独立的登陆账号和密码，肯定不方便用户管理，所以需要设计一种可多平台授权登陆的解决方法，比如：我登陆淘宝时使用支付宝授权认证登陆，使用微博时使用微信授权登陆。

SSO的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。今天小编就上述的两种情况跟大家一起探索当中的流程区别和应用实践。

OAuth2.0

OAuth 2.0是一个关于授权的开放网络协议，它允许用户让第三方网站访问该用户在某一网站上存储的信息和资源，如账户信息，照片，联系人等，而不需要给第三方网站提供某一网站上的账户和密码。

OAuth授权流程如下所述：

1、用户打开客户端，客户端要求授权。

2、用户同意客户端授权。

3、客户端使用上一步提供的授权，向服务器授权层申请令牌。

4、授权服务器对客户端进行认证后，同意发放令牌。

5、客户端使用令牌，向资源服务器申请资源。

6、资源服务器确认令牌，向客户端开放资源。

OAuth 场景说明：

比如小编之前在碎片时间多是使用头条来获取最新的信息资讯，最近了解抖音很火，就下载了抖音，选择登录注册页面时可以使用头条作为登录的授权

多平台登录多用于多个合作企业间通过互联网相互协助验证用户的身份，电商网站广泛使用社交网站的账号进行多平台登录，可以起到客户引流、降低首次购买门槛、营销跟踪等效果。

LDAP

LDAP是一种基于轻量目录访问协议，全称是Lightweight Directory Access Protocol，是由一个为查询、浏览和搜索而优化的数据库构成，它成树状结构组织数据，类似文件目录一样。

LDAP单点登录认证主要是改变原有的认证策略，使得需要的软件都通过LDAP服务器进行认证，在统一身份认证后，用户的所有信息都存储在AD Server中，终端用户在需要使用公司内部服务的时候，都需要通过AD服务器进行认证。

整个LDAP登录流程由以下4个步骤组成：

1、连接到LDAP服务器。

2、绑定到LDAP服务器。

3、在LDAP服务器上执行所需要的操作。

4、释放LDAP服务器的连接。

LDAP场景说明：

企业内部需要认证的服务很多，员工需要记住很多的密码， 即使对这些服务进行相同的密码设置，也存在很大的安全隐患。比如我们公司，有jira、confulence、gitlab、北森等系统，

使用场景是提高用户在同一个企业的多个站点(域名)之间的无缝浏览体验，例如企业内部可能有多个处理不同业务的系统(OA，邮箱，财务等)，用户只要在一个系统上保持登录状态，即可无需再次登录访问其他内部系统。

CAS

SSO 仅仅是一种架构，一种设计，而 CAS 则是实现 SSO 的一种手段。两者是抽象与具体的关系。

CAS即Central Authentication Service模型(中央式认证服务)，该协议是为应用提供可信身份认证的单点登录系统，最初是由耶鲁大学开发的。CAS 包含两个部分： CAS Server 和 CAS Client。CAS Server 需要独立部署，主要负责对用户的认证工作；CAS Client 负责处理对客户端受保护资源的访问请求，需要登录时，重定向到 CAS Server。

CAS的详细流程如图所示：

总结

今天介绍的几种单点登录系统，均具有较高的安全性，都能较好地完成单点登录系统的需求。

• OAuth协议能广泛应用于互联网中，基于大企业的巨大用户量，能减少小网站的注册推广成本，并且能做到更加便捷的资源共享。
• LDAP协议适用于企业用户使用，通过LDAP协议，能较好地管理员工在公司各系统之间的授权与访问。
• CAS模型，作为权威机构开发的系统，具有很好的兼容性与安全性，广泛应用于各大高校等大型组织，能很好地完成大量系统的对接与大量人员的使用。

可根据自身需求，选择不同的单点登录系统，来满足目标用户的使用。

今天又是博学的一天！