鑰匙要點(diǎn)

• >單登錄（SSO）是一個(gè)過程，允許用戶僅在一次身份驗(yàn)證其身份後訪問多個(gè)服務(wù)，從而消除了通過密碼或其他系統(tǒng)反復(fù)確認(rèn)身份的需求。
> 在開發(fā)與其他服務(wù)互動(dòng)或使用第三方服務(wù)時(shí)，實(shí)施SSO的
• 可以是有益的，因?yàn)樗梢源_保用戶不需要單獨(dú)登錄每個(gè)服務(wù)。
> SSO過程在不同的服務(wù)上略有不同，但基本思想保持不變：生成令牌並驗(yàn)證它。應(yīng)實(shí)施強(qiáng)大的安全措施，例如多因素身份驗(yàn)證和常規(guī)密碼更新，以減輕與SSO相關(guān)的風(fēng)險(xiǎn)。
• >

>當(dāng)您為大眾開發(fā)產(chǎn)品時(shí)，很少有一個(gè)完全獨(dú)立的產(chǎn)品與任何其他服務(wù)互動(dòng)。當(dāng)您使用第三方服務(wù)時(shí)，用戶身份驗(yàn)證是一項(xiàng)相對(duì)困難的任務(wù)，因?yàn)椴煌膽?yīng)用程序具有不同的機(jī)制來驗(yàn)證用戶。解決此問題的一種方法是通過單個(gè)符號(hào)或SSO。

>

>單個(gè)登錄（SSO）是一個(gè)過程，該過程允許用戶在使用用戶身份驗(yàn)證（即登錄一次）後訪問多個(gè)服務(wù)。這涉及到登錄主要服務(wù)後，用戶已授予所有服務(wù)的身份驗(yàn)證。除其他好處外，SSO避免了通過密碼或其他身份驗(yàn)證系統(tǒng)一遍又一遍地確認(rèn)身份的單調(diào)任務(wù)。

>

>讓我們更詳細(xì)地研究SSO，我們將使用非常著名的服務(wù)來展示其用途和好處。

身份驗(yàn)證過程

SSO的基本過程如下：

第一步是登錄主要服務(wù)（例如，F(xiàn)acebook或Google）。

>
• >您訪問新服務(wù)時(shí)，它將您重定向到原始服務(wù)（或父）服務(wù)，以檢查您是否已登錄到該服務(wù)。
>
• >返回一個(gè)otp（一次性密碼）令牌。
> 然後，由父級(jí)服務(wù)器的新服務(wù)驗(yàn)證OTP令牌，只有在成功驗(yàn)證之後才是用戶授予的條目。
儘管為SSO製作API是一項(xiàng)繁瑣的任務(wù)，尤其是在處理安全方面，但實(shí)施是相對(duì)容易的任務(wù)！
• >
>在Google服務(wù)中使用SSO的一個(gè)很好的例子。您只需要登錄一個(gè)主要的Google帳戶即可訪問YouTube，Gmail，Google，Google Analytics（分析）等不同的服務(wù)。

您自己的產(chǎn)品

> SSO

>當(dāng)您構(gòu)建自己的產(chǎn)品時(shí)，您需要確保其所有組件都使用相同的身份驗(yàn)證。當(dāng)您的所有服務(wù)都局限於您自己的代碼庫時(shí)，這很容易做到。但是，借助諸如Disqus評(píng)論系統(tǒng)和用於客戶關(guān)係管理的Freshdesk之類的流行服務(wù)，最好使用這些服務(wù)，而不是從頭開始創(chuàng)建自己的。

，但是使用此類第三方服務(wù)引起了一個(gè)問題。由於他們的代碼託管在各自的服務(wù)器上，因此用戶也需要在其服務(wù)上明確登錄，即使他們登錄到您的網(wǎng)站。如前所述，解決方案是SSO的實(shí)現(xiàn)。

>理想情況下，您提供了一雙鑰匙 - 公共和私人。您為登錄用戶生成一個(gè)令牌，並將其與您的公鑰一起發(fā)送到服務(wù)以進(jìn)行驗(yàn)證。經(jīng)過驗(yàn)證後，用戶將自動(dòng)登錄到服務(wù)。為了更好地理解這一點(diǎn)，讓我們以一個(gè)真實(shí)的例子。

>

disqus sso

> disqus是一個(gè)流行的評(píng)論託管網(wǎng)站的服務(wù)，它提供了許多功能，例如社交網(wǎng)絡(luò)集成，審核工具，分析，甚至可以導(dǎo)出評(píng)論的能力。它最初是YCombinator的創(chuàng)業(yè)公司，並已成長(zhǎng)為世界上最受歡迎的網(wǎng)站之一！

>

>由於DISQUS評(píng)論系統(tǒng)已嵌入您的頁面中，因此，如果他或她已經(jīng)在您的網(wǎng)站上登錄，則必須在Disqus中第二次登錄。 Disqus具有有關(guān)如何集成SSO的廣泛文檔。

>您首先使用私人和公共disqus api鍵生成一個(gè)稱為remote_auth_s3的密鑰，用於登錄用戶。當(dāng)您將SSO註冊(cè)為Disqus中的免費(fèi)附加組件時(shí)，您將提供公共和私鑰。

>您將用戶的信息（ID，用戶名和電子郵件）傳遞給DISQU，以作為JSON的身份驗(yàn)證。您會(huì)在頁面上渲染DISQUS系統(tǒng)時(shí)生成一條消息。為了更好地理解它，讓我們看看用Python編寫的示例。

>

> disqus在github上提供了幾種流行語言中的代碼示例。

。

生成消息

>示例Python代碼（在GitHub上找到可以在您的網(wǎng)站上登錄用戶如下。

>。

>初始化disqus註釋

然後，您在JavaScript請(qǐng)求中將此生成的令牌以及您的公鑰發(fā)送到Disqus。如果驗(yàn)證身份驗(yàn)證，生成的註釋系統(tǒng)已經(jīng)登錄了。

>我們可以在博客碗上看到SSO的實(shí)現(xiàn)，該博客碗是Python/Django開發(fā)的博客目錄。如果您已登錄到網(wǎng)站，則應(yīng)在渲染DISQUS評(píng)論系統(tǒng)時(shí)登錄。在此示例中，該人對(duì)象存儲(chǔ)ID（對(duì)於網(wǎng)站上的每個(gè)人來說是唯一的），電子郵件和PEN_NAME。該消息的生成如下所示。

<span>import base64
</span><span>import hashlib
</span><span>import hmac
</span><span>import simplejson
</span><span>import time
</span>
DISQUS_SECRET_KEY <span>= '123456'
</span>DISQUS_PUBLIC_KEY <span>= 'abcdef'
</span>
<span>def get_disqus_sso(user):
</span>    <span># create a JSON packet of our data attributes
</span>    data <span>= simplejson.dumps({
</span>        <span>'id': user['id'],
</span>        <span>'username': user['username'],
</span>        <span>'email': user['email'],
</span>    <span>})
</span>    <span># encode the data to base64
</span>    message <span>= base64.b64encode(data)
</span>    <span># generate a timestamp for signing the message
</span>    timestamp <span>= int(time.time())
</span>    <span># generate our hmac signature
</span>    sig <span>= hmac.HMAC(DISQUS_SECRET_KEY, '%s %s' % (message, timestamp), hashlib.sha1).hexdigest()
</span>
<span># return a script tag to insert the sso message
</span>    <span>return """<script type="text/javascript">
</span><span>    var disqus_config = function() {
</span><span>        this.page.remote_auth_s3 = "%(message)s %(sig)s %(timestamp)s";
</span><span>        this.page.api_key = "%(pub_key)s";
</span><span>    }
</span><span>    </script>""" % dict(
</span>        message<span>=message,
</span>        timestamp<span>=timestamp,
</span>        sig<span>=sig,
</span>        pub_key<span>=DISQUS_PUBLIC_KEY,
</span>    <span>)</span>

>在前端，您只需打印此變量即可執(zhí)行腳本。有關(guān)現(xiàn)場(chǎng)演示，您可以在博客碗中訪問此帖子，並檢查底部的評(píng)論。自然，您不會(huì)登錄。

>

接下來，登錄博客碗，再次訪問同一帖子（您需要登錄以查看效果）。請(qǐng)注意，您已登錄下面的評(píng)論系統(tǒng)。

>

>博客碗提供的另一個(gè)有趣的功能是匿名，在發(fā)佈內(nèi)容時(shí)（如本文）。想一想一種情況，您希望用戶以匿名用戶（例如在Quora上）發(fā)布有關(guān)DISQU的評(píng)論的答復(fù)。我們以簡(jiǎn)單的方式出路，並在ID上附加了大量。為了與用戶相關(guān)聯(lián)（因此，它與用戶的其他評(píng)論都不會(huì)出現(xiàn)），我們也會(huì)生成一個(gè)唯一的電子郵件。這樣可以將您的匿名評(píng)論融合在一起，但並不將其與其他用戶的原始個(gè)人資料或匿名評(píng)論相結(jié)合。

>

，這是代碼：

sso <span>= get_disqus_sso({ 
</span>    <span>'id': person.id, 
</span>    <span>'email': person.user.email, 
</span>    <span>'username': person.pen_name 
</span><span>})</span>

結(jié)論

儘管不同服務(wù)的SSO過程略有不同，但是它們背後的基本思想是相同的 - 生成令牌並驗(yàn)證它！我希望這篇文章能幫助您深入了解應(yīng)用程序如何集成SSO，也許這將幫助您自己實(shí)施SSO。

如果您有任何糾正，問題或與SSO共享自己的經(jīng)驗(yàn)，請(qǐng)隨時(shí)發(fā)表評(píng)論。

>關(guān)於單次登錄（SSO）

的常見問題

>單登錄（SSO）的主要目的是什麼？具有一組登錄憑據(jù)。這消除了記憶多個(gè)用戶名和密碼的需求，從而提高了用戶的便利性和生產(chǎn)力。 SSO還通過減少密碼管理不善和未經(jīng)授權(quán)的訪問的機(jī)會(huì)來提高安全性。

>

>單個(gè)登錄（SSO）如何工作？

SSO通過在多個(gè)應(yīng)用程序或網(wǎng)站之間建立可信賴的關(guān)係來起作用。當(dāng)用戶登錄到一個(gè)應(yīng)用程序時(shí)，SSO系統(tǒng)會(huì)身份驗(yàn)證用戶的憑據(jù)並發(fā)布安全令牌。然後，該令牌用於對(duì)SSO系統(tǒng)中其他應(yīng)用程序的用戶進(jìn)行身份驗(yàn)證，從而消除了對(duì)多個(gè)登錄的需求。

使用單登錄（SSO）有什麼好處？ SSO提供了一些好處。它通過減少對(duì)多個(gè)登錄的需求來簡(jiǎn)化用戶體驗(yàn)，從而節(jié)省時(shí)間並減少挫敗感。它還通過最大程度地降低與密碼相關(guān)的漏洞的風(fēng)險(xiǎn)來提高安全性。此外，它可以通過減少密碼重置請(qǐng)求的數(shù)量來降低其成本。

>

>單登錄（SSO）是否存在任何風(fēng)險(xiǎn)？帶有潛在的風(fēng)險(xiǎn)。如果用戶的SSO憑據(jù)受到損害，攻擊者可以訪問與這些憑據(jù)相關(guān)的所有應(yīng)用程序。因此，實(shí)施強(qiáng)大的安全措施（例如多因素身份驗(yàn)證和常規(guī)密碼更新）以減輕這些風(fēng)險(xiǎn)至關(guān)重要。

>單一簽名（SSO）和多因素身份驗(yàn)證之間有什麼區(qū)別（ MFA）？

SSO和MFA都是身份驗(yàn)證方法，但它們的目的不同。 SSO通過允許用戶訪問具有一組憑據(jù)的多個(gè)應(yīng)用程序來簡(jiǎn)化登錄過程。另一方面，MFA通過要求用戶在授予訪問之前提供兩種或多種形式的身份證明來增強(qiáng)安全性。

>

>可以將單個(gè)登錄（SSO）與移動(dòng)應(yīng)用程序一起使用？ ，SSO可以與移動(dòng)應(yīng)用程序一起使用。許多SSO解決方案都提供移動(dòng)支持，允許用戶使用一組憑據(jù)。通過簡(jiǎn)化登錄過程來改善用戶體驗(yàn)。用戶只需要記住一組憑據(jù)，從而減少了被遺忘的密碼的挫敗感。這也節(jié)省了時(shí)間，因?yàn)橛脩粼谠L問不同的應(yīng)用程序時(shí)不需要重複輸入憑據(jù)。

>

>哪些行業(yè)可以從單個(gè)登錄（SSO）（SSO）中受益？受益於SSO。嚴(yán)重依賴多個(gè)應(yīng)用程序（例如醫(yī)療保健，教育，金融和技術(shù)）的行業(yè)尤其可以從SSO提供的便利性和安全性中受益。

>單個(gè)登錄（SSO）如何增強(qiáng)安全性？

SSO通過減少用戶需要記住和管理的密碼數(shù)量來增強(qiáng)安全性。這降低了弱或重複使用密碼的可能性，這是網(wǎng)絡(luò)攻擊的常見目標(biāo)。此外，許多SSO解決方案都結(jié)合了其他安全措施，例如多因素身份驗(yàn)證和加密，以進(jìn)一步保護(hù)用戶數(shù)據(jù)。

可以將單個(gè)登錄（SSO）與現(xiàn)有系統(tǒng)集成在一起嗎？ >是的，大多數(shù)SSO解決方案都可以與現(xiàn)有系統(tǒng)集成。但是，集成過程可能會(huì)根據(jù)特定的SSO解決方案和到位而有所不同。與經(jīng)驗(yàn)豐富的IT團(tuán)隊(duì)或SSO提供商合作以確保平穩(wěn)而安全的集成非常重要。

以上是單登錄（SSO）解釋了的詳細(xì)內(nèi)容。更多資訊請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！