分布式是大型架构核心,下面我详解SSO单点登录原理@mikechen
单点登录
SSO(Single Sign-On),即单点登录,是一种身份认证机制:
用户只需在一个系统登录一次,即可访问多个相关系统,而无需重复登录。
SSO广泛应用于企业内部门户、云服务集成、移动应用与第三方API访问。
企业通过SSO实现员工对邮箱、办公套件、内部系统的一次登录访问。
本质:一次认证,全局信任。
SSO单点登录原理
典型实现,通常包含三个核心组件:CAS Server、CAS Client 和浏览器。
CAS Server(认证中心)
CAS Server(Central Authentication Service) 是整个 SSO 系统的核心。
主要职责:
用户身份认证(登录校验账号密码);
签发票据(Ticket,如 TGT / ST);
管理全局会话(Single Sign-On 会话)
可以理解为:“唯一的登录入口 + 信任中心”。
CAS Client(应用系统)
CAS Client 指的是接入 SSO 的各个业务系统,例如:
用户系统;
订单系统;
管理后台;
主要职责:
拦截未登录请求,重定向到 CAS Server。
浏览器(用户代理)
浏览器在 SSO 中起到“桥梁”的作用。
主要职责:
负责请求跳转(重定向);
存储 Cookie(如 TGT);
在不同系统之间传递认证信息。
单点登录流程
完整流程,如下:
- 用户通过浏览器访问 CAS Client(业务系统);
- Client 发现用户未登录 → 重定向到 CAS Server;
- 用户在 CAS Server 完成登录认证;
- CAS Server 生成 Ticket(如 ST),并返回给浏览器;
- 浏览器携带 Ticket 回到 Client;
- Client 向 CAS Server 校验 Ticket;
- 校验成功 → 建立本地 Session → 登录完成。