请问一个关于单点登录的概念有关问题
请教一个关于单点登录的概念问题
单点登录(SSO):用户只需要登录一次就可以访问所有相互信任的应用系统。
站点A,站点B,站点C相关授信;
请问:
1.我在A登录后。新开一个浏览器和页面,直接输入B的网址或者C的,是不是已经登录了?
2.还是说:必须从A页面登陆后,必须从A页面携带一个身份令牌之后跳转到B、C.才能是登录状态,否则直接访问B、C就是非登陆状态
------解决方案--------------------
单点登录的技术其实非常简单。
由于登录页都是登录站点的页面,因此它自然就可以通过cookie获取用户的登录会话的信息索引(例如在cookie中保存用户登录编号)。然后通过这个编号,从后台数据库中就可以查询出用户名、曾经设置自己登录站点的黑名单和白名单是什么,用户当前已经确认登录了哪些站点。
登录站点的登录页只有在用户从未登录过时才让用户输入“用户名、密码”。而如果用户已经输入过,那么登录站点的登录页不需要用户输入这些,仅仅会显示准备登录的站点的介绍,并且让用户确定到底是否要登录。如果用户选择“登录”按钮,就登录了。
登录站点随后会把用户网页重定向会之前站点传过来的“返回url”哪里,同时附上登录的授权编号(这个授权编号可能只在20秒钟内有效)。然后子站点就可以使用这个编号从服务器端直接获取用户基本信息(绝对不可能包括用户输入的密码)。
最常见两种不懂SSO的人给用户的所谓单点登录方案:一种就是让A站点处理用户的登录,然后B和C去站定A去取;另一种就是弄个什么OA网站,然后把其它站点都以 IFrame 方式嵌在 OA 网页中,然后在打开子网页的 src 属性地址参数中去推送所谓用户信息。这两种,都完全违背了SSO的基本原则!
单点登录(SSO):用户只需要登录一次就可以访问所有相互信任的应用系统。
站点A,站点B,站点C相关授信;
请问:
1.我在A登录后。新开一个浏览器和页面,直接输入B的网址或者C的,是不是已经登录了?
2.还是说:必须从A页面登陆后,必须从A页面携带一个身份令牌之后跳转到B、C.才能是登录状态,否则直接访问B、C就是非登陆状态
------解决方案--------------------
单点登录的技术其实非常简单。
由于登录页都是登录站点的页面,因此它自然就可以通过cookie获取用户的登录会话的信息索引(例如在cookie中保存用户登录编号)。然后通过这个编号,从后台数据库中就可以查询出用户名、曾经设置自己登录站点的黑名单和白名单是什么,用户当前已经确认登录了哪些站点。
登录站点的登录页只有在用户从未登录过时才让用户输入“用户名、密码”。而如果用户已经输入过,那么登录站点的登录页不需要用户输入这些,仅仅会显示准备登录的站点的介绍,并且让用户确定到底是否要登录。如果用户选择“登录”按钮,就登录了。
登录站点随后会把用户网页重定向会之前站点传过来的“返回url”哪里,同时附上登录的授权编号(这个授权编号可能只在20秒钟内有效)。然后子站点就可以使用这个编号从服务器端直接获取用户基本信息(绝对不可能包括用户输入的密码)。
最常见两种不懂SSO的人给用户的所谓单点登录方案:一种就是让A站点处理用户的登录,然后B和C去站定A去取;另一种就是弄个什么OA网站,然后把其它站点都以 IFrame 方式嵌在 OA 网页中,然后在打开子网页的 src 属性地址参数中去推送所谓用户信息。这两种,都完全违背了SSO的基本原则!