鑰匙要點(diǎn)

• >單登錄（SSO）是一個(gè)過(guò)程，允許用戶僅在一次身份驗(yàn)證其身份後訪問(wèn)多個(gè)服務(wù)，從而消除了通過(guò)密碼或其他系統(tǒng)反復(fù)確認(rèn)身份的需求。
> 在開(kāi)發(fā)與其他服務(wù)互動(dòng)或使用第三方服務(wù)時(shí)，實(shí)施SSO的
• 可以是有益的，因?yàn)樗梢源_保用戶不需要單獨(dú)登錄每個(gè)服務(wù)。
> SSO過(guò)程在不同的服務(wù)上略有不同，但基本思想保持不變：生成令牌並驗(yàn)證它。應(yīng)實(shí)施強(qiáng)大的安全措施，例如多因素身份驗(yàn)證和常規(guī)密碼更新，以減輕與SSO相關(guān)的風(fēng)險(xiǎn)。
• >

>當(dāng)您為大眾開(kāi)發(fā)產(chǎn)品時(shí)，很少有一個(gè)完全獨(dú)立的產(chǎn)品與任何其他服務(wù)互動(dòng)。當(dāng)您使用第三方服務(wù)時(shí)，用戶身份驗(yàn)證是一項(xiàng)相對(duì)困難的任務(wù)，因?yàn)椴煌膽?yīng)用程序具有不同的機(jī)制來(lái)驗(yàn)證用戶。解決此問(wèn)題的一種方法是通過(guò)單個(gè)符號(hào)或SSO。

>

>單個(gè)登錄（SSO）是一個(gè)過(guò)程，該過(guò)程允許用戶在使用用戶身份驗(yàn)證（即登錄一次）後訪問(wèn)多個(gè)服務(wù)。這涉及到登錄主要服務(wù)後，用戶已授予所有服務(wù)的身份驗(yàn)證。除其他好處外，SSO避免了通過(guò)密碼或其他身份驗(yàn)證系統(tǒng)一遍又一遍地確認(rèn)身份的單調(diào)任務(wù)。

>

>讓我們更詳細(xì)地研究SSO，我們將使用非常著名的服務(wù)來(lái)展示其用途和好處。

身份驗(yàn)證過(guò)程

SSO的基本過(guò)程如下：

第一步是登錄主要服務(wù)（例如，F(xiàn)acebook或Google）。

>
• >您訪問(wèn)新服務(wù)時(shí)，它將您重定向到原始服務(wù)（或父）服務(wù)，以檢查您是否已登錄到該服務(wù)。
>
• >返回一個(gè)otp（一次性密碼）令牌。
> 然後，由父級(jí)服務(wù)器的新服務(wù)驗(yàn)證OTP令牌，只有在成功驗(yàn)證之後才是用戶授予的條目。
儘管為SSO製作API是一項(xiàng)繁瑣的任務(wù)，尤其是在處理安全方面，但實(shí)施是相對(duì)容易的任務(wù)！
• >
>在Google服務(wù)中使用SSO的一個(gè)很好的例子。您只需要登錄一個(gè)主要的Google帳戶即可訪問(wèn)YouTube，Gmail，Google，Google Analytics（分析）等不同的服務(wù)。

您自己的產(chǎn)品

> SSO

>當(dāng)您構(gòu)建自己的產(chǎn)品時(shí)，您需要確保其所有組件都使用相同的身份驗(yàn)證。當(dāng)您的所有服務(wù)都局限於您自己的代碼庫(kù)時(shí)，這很容易做到。但是，借助諸如Disqus評(píng)論系統(tǒng)和用於客戶關(guān)係管理的Freshdesk之類的流行服務(wù)，最好使用這些服務(wù)，而不是從頭開(kāi)始創(chuàng)建自己的。

，但是使用此類第三方服務(wù)引起了一個(gè)問(wèn)題。由於他們的代碼託管在各自的服務(wù)器上，因此用戶也需要在其服務(wù)上明確登錄，即使他們登錄到您的網(wǎng)站。如前所述，解決方案是SSO的實(shí)現(xiàn)。

>理想情況下，您提供了一雙鑰匙 - 公共和私人。您為登錄用戶生成一個(gè)令牌，並將其與您的公鑰一起發(fā)送到服務(wù)以進(jìn)行驗(yàn)證。經(jīng)過(guò)驗(yàn)證後，用戶將自動(dòng)登錄到服務(wù)。為了更好地理解這一點(diǎn)，讓我們以一個(gè)真實(shí)的例子。

>

disqus sso

> disqus是一個(gè)流行的評(píng)論託管網(wǎng)站的服務(wù)，它提供了許多功能，例如社交網(wǎng)絡(luò)集成，審核工具，分析，甚至可以導(dǎo)出評(píng)論的能力。它最初是YCombinator的創(chuàng)業(yè)公司，並已成長(zhǎng)為世界上最受歡迎的網(wǎng)站之一！

>

>由於DISQUS評(píng)論系統(tǒng)已嵌入您的頁(yè)面中，因此，如果他或她已經(jīng)在您的網(wǎng)站上登錄，則必須在Disqus中第二次登錄。 Disqus具有有關(guān)如何集成SSO的廣泛文檔。

>您首先使用私人和公共disqus api鍵生成一個(gè)稱為remote_auth_s3的密鑰，用於登錄用戶。當(dāng)您將SSO註冊(cè)為Disqus中的免費(fèi)附加組件時(shí)，您將提供公共和私鑰。

>您將用戶的信息（ID，用戶名和電子郵件）傳遞給DISQU，以作為JSON的身份驗(yàn)證。您會(huì)在頁(yè)面上渲染DISQUS系統(tǒng)時(shí)生成一條消息。為了更好地理解它，讓我們看看用Python編寫的示例。

>

> disqus在github上提供了幾種流行語(yǔ)言中的代碼示例。

。

生成消息

>示例Python代碼（在GitHub上找到可以在您的網(wǎng)站上登錄用戶如下。

>。

>初始化disqus註釋

然後，您在JavaScript請(qǐng)求中將此生成的令牌以及您的公鑰發(fā)送到Disqus。如果驗(yàn)證身份驗(yàn)證，生成的註釋系統(tǒng)已經(jīng)登錄了。

>我們可以在博客碗上看到SSO的實(shí)現(xiàn)，該博客碗是Python/Django開(kāi)發(fā)的博客目錄。如果您已登錄到網(wǎng)站，則應(yīng)在渲染DISQUS評(píng)論系統(tǒng)時(shí)登錄。在此示例中，該人對(duì)象存儲(chǔ)ID（對(duì)於網(wǎng)站上的每個(gè)人來(lái)說(shuō)是唯一的），電子郵件和PEN_NAME。該消息的生成如下所示。

<span>import base64
</span><span>import hashlib
</span><span>import hmac
</span><span>import simplejson
</span><span>import time
</span>
DISQUS_SECRET_KEY <span>= '123456'
</span>DISQUS_PUBLIC_KEY <span>= 'abcdef'
</span>
<span>def get_disqus_sso(user):
</span>    <span># create a JSON packet of our data attributes
</span>    data <span>= simplejson.dumps({
</span>        <span>'id': user['id'],
</span>        <span>'username': user['username'],
</span>        <span>'email': user['email'],
</span>    <span>})
</span>    <span># encode the data to base64
</span>    message <span>= base64.b64encode(data)
</span>    <span># generate a timestamp for signing the message
</span>    timestamp <span>= int(time.time())
</span>    <span># generate our hmac signature
</span>    sig <span>= hmac.HMAC(DISQUS_SECRET_KEY, '%s %s' % (message, timestamp), hashlib.sha1).hexdigest()
</span>
<span># return a script tag to insert the sso message
</span>    <span>return """<script type="text/javascript">
</span><span>    var disqus_config = function() {
</span><span>        this.page.remote_auth_s3 = "%(message)s %(sig)s %(timestamp)s";
</span><span>        this.page.api_key = "%(pub_key)s";
</span><span>    }
</span><span>    </script>""" % dict(
</span>        message<span>=message,
</span>        timestamp<span>=timestamp,
</span>        sig<span>=sig,
</span>        pub_key<span>=DISQUS_PUBLIC_KEY,
</span>    <span>)</span>

>在前端，您只需打印此變量即可執(zhí)行腳本。有關(guān)現(xiàn)場(chǎng)演示，您可以在博客碗中訪問(wèn)此帖子，並檢查底部的評(píng)論。自然，您不會(huì)登錄。

>

接下來(lái)，登錄博客碗，再次訪問(wèn)同一帖子（您需要登錄以查看效果）。請(qǐng)注意，您已登錄下面的評(píng)論系統(tǒng)。

>

>博客碗提供的另一個(gè)有趣的功能是匿名，在發(fā)佈內(nèi)容時(shí)（如本文）。想一想一種情況，您希望用戶以匿名用戶（例如在Quora上）發(fā)布有關(guān)DISQU的評(píng)論的答復(fù)。我們以簡(jiǎn)單的方式出路，並在ID上附加了大量。為了與用戶相關(guān)聯(lián)（因此，它與用戶的其他評(píng)論都不會(huì)出現(xiàn)），我們也會(huì)生成一個(gè)唯一的電子郵件。這樣可以將您的匿名評(píng)論融合在一起，但並不將其與其他用戶的原始個(gè)人資料或匿名評(píng)論相結(jié)合。

>

，這是代碼：

sso <span>= get_disqus_sso({ 
</span>    <span>'id': person.id, 
</span>    <span>'email': person.user.email, 
</span>    <span>'username': person.pen_name 
</span><span>})</span>

結(jié)論

儘管不同服務(wù)的SSO過(guò)程略有不同，但是它們背後的基本思想是相同的 - 生成令牌並驗(yàn)證它！我希望這篇文章能幫助您深入了解應(yīng)用程序如何集成SSO，也許這將幫助您自己實(shí)施SSO。

如果您有任何糾正，問(wèn)題或與SSO共享自己的經(jīng)驗(yàn)，請(qǐng)隨時(shí)發(fā)表評(píng)論。

>關(guān)於單次登錄（SSO）

的常見(jiàn)問(wèn)題

>單登錄（SSO）的主要目的是什麼？具有一組登錄憑據(jù)。這消除了記憶多個(gè)用戶名和密碼的需求，從而提高了用戶的便利性和生產(chǎn)力。 SSO還通過(guò)減少密碼管理不善和未經(jīng)授權(quán)的訪問(wèn)的機(jī)會(huì)來(lái)提高安全性。

>

>單個(gè)登錄（SSO）如何工作？

SSO通過(guò)在多個(gè)應(yīng)用程序或網(wǎng)站之間建立可信賴的關(guān)係來(lái)起作用。當(dāng)用戶登錄到一個(gè)應(yīng)用程序時(shí)，SSO系統(tǒng)會(huì)身份驗(yàn)證用戶的憑據(jù)並發(fā)布安全令牌。然後，該令牌用於對(duì)SSO系統(tǒng)中其他應(yīng)用程序的用戶進(jìn)行身份驗(yàn)證，從而消除了對(duì)多個(gè)登錄的需求。

使用單登錄（SSO）有什麼好處？ SSO提供了一些好處。它通過(guò)減少對(duì)多個(gè)登錄的需求來(lái)簡(jiǎn)化用戶體驗(yàn)，從而節(jié)省時(shí)間並減少挫敗感。它還通過(guò)最大程度地降低與密碼相關(guān)的漏洞的風(fēng)險(xiǎn)來(lái)提高安全性。此外，它可以通過(guò)減少密碼重置請(qǐng)求的數(shù)量來(lái)降低其成本。

>

>單登錄（SSO）是否存在任何風(fēng)險(xiǎn)？帶有潛在的風(fēng)險(xiǎn)。如果用戶的SSO憑據(jù)受到損害，攻擊者可以訪問(wèn)與這些憑據(jù)相關(guān)的所有應(yīng)用程序。因此，實(shí)施強(qiáng)大的安全措施（例如多因素身份驗(yàn)證和常規(guī)密碼更新）以減輕這些風(fēng)險(xiǎn)至關(guān)重要。

>單一簽名（SSO）和多因素身份驗(yàn)證之間有什麼區(qū)別（ MFA）？

SSO和MFA都是身份驗(yàn)證方法，但它們的目的不同。 SSO通過(guò)允許用戶訪問(wèn)具有一組憑據(jù)的多個(gè)應(yīng)用程序來(lái)簡(jiǎn)化登錄過(guò)程。另一方面，MFA通過(guò)要求用戶在授予訪問(wèn)之前提供兩種或多種形式的身份證明來(lái)增強(qiáng)安全性。

>

>可以將單個(gè)登錄（SSO）與移動(dòng)應(yīng)用程序一起使用？ ，SSO可以與移動(dòng)應(yīng)用程序一起使用。許多SSO解決方案都提供移動(dòng)支持，允許用戶使用一組憑據(jù)。通過(guò)簡(jiǎn)化登錄過(guò)程來(lái)改善用戶體驗(yàn)。用戶只需要記住一組憑據(jù)，從而減少了被遺忘的密碼的挫敗感。這也節(jié)省了時(shí)間，因?yàn)橛脩粼谠L問(wèn)不同的應(yīng)用程序時(shí)不需要重複輸入憑據(jù)。

>

>哪些行業(yè)可以從單個(gè)登錄（SSO）（SSO）中受益？受益於SSO。嚴(yán)重依賴多個(gè)應(yīng)用程序（例如醫(yī)療保健，教育，金融和技術(shù)）的行業(yè)尤其可以從SSO提供的便利性和安全性中受益。

>單個(gè)登錄（SSO）如何增強(qiáng)安全性？

SSO通過(guò)減少用戶需要記住和管理的密碼數(shù)量來(lái)增強(qiáng)安全性。這降低了弱或重複使用密碼的可能性，這是網(wǎng)絡(luò)攻擊的常見(jiàn)目標(biāo)。此外，許多SSO解決方案都結(jié)合了其他安全措施，例如多因素身份驗(yàn)證和加密，以進(jìn)一步保護(hù)用戶數(shù)據(jù)。

可以將單個(gè)登錄（SSO）與現(xiàn)有系統(tǒng)集成在一起嗎？ >是的，大多數(shù)SSO解決方案都可以與現(xiàn)有系統(tǒng)集成。但是，集成過(guò)程可能會(huì)根據(jù)特定的SSO解決方案和到位而有所不同。與經(jīng)驗(yàn)豐富的IT團(tuán)隊(duì)或SSO提供商合作以確保平穩(wěn)而安全的集成非常重要。

以上是單登錄（SSO）解釋了的詳細(xì)內(nèi)容。更多資訊請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！