相信大家對(duì)SSO是什么多少都有一些了解，單點(diǎn)登錄 (SSO) 是一種會(huì)話和用戶身份驗(yàn)證服務(wù)，它允許用戶使用一組登錄憑據(jù)(例如，名稱和密碼)來(lái)訪問(wèn)多個(gè)應(yīng)用程序。企業(yè)、小型組織和個(gè)人可以使用 SSO 來(lái)簡(jiǎn)化各種用戶名和密碼的管理。

在基本 Web SSO 服務(wù)中，應(yīng)用程序服務(wù)器上的代理模塊從專用 SSO 策略服務(wù)器檢索單個(gè)用戶 的特定身份驗(yàn)證憑據(jù)，同時(shí)根據(jù)用戶存儲(chǔ)庫(kù)(例如輕量級(jí)目錄訪問(wèn)協(xié)議 ( LDAP ) 目錄)對(duì)用戶進(jìn)行身份驗(yàn)證. 該服務(wù)對(duì)用戶被授予權(quán)限的所有應(yīng)用程序的最終用戶進(jìn)行身份驗(yàn)證，并消除未來(lái)在同一會(huì)話期間對(duì)單個(gè)應(yīng)用程序的密碼提示。

單點(diǎn)登錄的工作原理

單點(diǎn)登錄是一種聯(lián)合身份管理 ( FIM ) 安排，使用這種系統(tǒng)有時(shí)稱為 身份聯(lián)合。 OAuth代表開放授權(quán)，發(fā)音為“oh-auth”，是一種框架，它使最終用戶的帳戶信息能夠被 Facebook 等第三方服務(wù)使用，而不會(huì)暴露用戶的密碼。

OAuth 代表最終用戶充當(dāng)中介，通過(guò)向服務(wù)提供訪問(wèn)令牌來(lái)授權(quán)共享特定帳戶信息。當(dāng)用戶嘗試從服務(wù)提供者訪問(wèn)應(yīng)用程序時(shí)，服務(wù)提供者將向身份提供者發(fā)送請(qǐng)求進(jìn)行身份驗(yàn)證。然后服務(wù)提供商將驗(yàn)證身份驗(yàn)證并將用戶登錄。

SSO 配置的類型

一些 SSO 服務(wù)使用協(xié)議，例如 Kerberos和安全斷言標(biāo)記語(yǔ)言 ( SAML )。

SAML 是一種可擴(kuò)展標(biāo)記語(yǔ)言 (XML) 標(biāo)準(zhǔn)，有助于 跨安全 域交換用戶身份驗(yàn)證和授權(quán)數(shù)據(jù)?；?SAML 的 SSO 服務(wù)涉及用戶、維護(hù)用戶目錄的身份提供者和服務(wù)提供者之間的通信。

在基于 Kerberos 的設(shè)置中，一旦提供了用戶憑據(jù)，就會(huì)頒發(fā)一個(gè)授予票證的票證 ( TGT )。TGT 為用戶希望訪問(wèn)的其他應(yīng)用程序獲取服務(wù)票證，而不要求用戶重新輸入憑據(jù)。

基于智能卡的 SSO 將要求最終用戶使用持有登錄憑據(jù)的卡進(jìn)行首次登錄。使用該卡后，用戶無(wú)需重新輸入用戶名或密碼。SSO 智能卡將存儲(chǔ)證書或密碼。

安全風(fēng)險(xiǎn)和 SSO

雖然單點(diǎn)登錄對(duì)用戶來(lái)說(shuō)是一種便利，但它會(huì)給企業(yè)安全帶來(lái)風(fēng)險(xiǎn)。獲得對(duì)用戶 SSO 憑據(jù)的控制權(quán)的攻擊者將被授予訪問(wèn)用戶有權(quán)訪問(wèn)的每個(gè)應(yīng)用程序的權(quán)限，從而增加了潛在損害的數(shù)量。為了避免惡意訪問(wèn)，SSO 實(shí)施的各個(gè)方面都必須與 身份治理相結(jié)合。組織還可以通過(guò) SSO 使用雙因素身份驗(yàn)證 ( 2FA ) 或多因素身份驗(yàn)證 ( MFA ) 來(lái)提高安全性。

社交單點(diǎn)登錄

Google、LinkedIn、Twitter 和 Facebook 提供流行的 SSO 服務(wù)，使最終用戶能夠使用其社交媒體身份驗(yàn)證憑據(jù)登錄到第三方應(yīng)用程序。盡管社交單點(diǎn)登錄對(duì)用戶來(lái)說(shuō)是一種便利，但它可能會(huì)帶來(lái)安全風(fēng)險(xiǎn)，因?yàn)樗鼤?huì)產(chǎn)生可被攻擊者利用的單點(diǎn)故障。

許多安全專家建議最終用戶不要完全使用社交 SSO 服務(wù)，因?yàn)橐坏┕粽呖刂屏擞脩舻?SSO 憑據(jù)，他們將能夠訪問(wèn)使用相同憑據(jù)的所有其他應(yīng)用程序。

蘋果最近推出了自己的單點(diǎn)登錄服務(wù)，并將其定位為比谷歌、Facebook、LinkedIn 和 Twitter 提供的 SSO 選項(xiàng)更私密的替代方案。這項(xiàng)名為“Sign in with Apple”的新產(chǎn)品預(yù)計(jì)將限制第三方服務(wù)可以訪問(wèn)的數(shù)據(jù)。Apple 的 SSO 還將通過(guò)要求用戶在所有 Apple ID 帳戶上使用 2FA 以支持與 iOS 設(shè)備上的 Face ID 和 Touch ID 集成來(lái)增強(qiáng)安全性。

企業(yè)單點(diǎn)登錄

企業(yè)單點(diǎn)登錄 (eSSO) 軟件產(chǎn)品和服務(wù)是具有客戶端和服務(wù)器組件的密碼管理器，可通過(guò)重放用戶憑據(jù)將用戶登錄到目標(biāo)應(yīng)用程序。這些憑據(jù)幾乎總是用戶名和密碼;無(wú)需修改目標(biāo)應(yīng)用程序即可使用 eSSO 系統(tǒng)。

SSO 的優(yōu)缺點(diǎn)

SSO 的優(yōu)點(diǎn)包括：

它使用戶能夠記住和管理每個(gè)應(yīng)用程序的更少密碼和用戶名。

它簡(jiǎn)化了登錄和使用應(yīng)用程序的過(guò)程——無(wú)需重新輸入密碼。

它減少了網(wǎng)絡(luò)釣魚的機(jī)會(huì)。

它可以減少有關(guān) IT幫助臺(tái)密碼的投訴或麻煩。

SSO 的缺點(diǎn)包括：

它沒有解決每個(gè)應(yīng)用程序登錄可能需要的某些安全級(jí)別。

如果可用性丟失，則用戶將被鎖定在連接到 SSO 的多個(gè)系統(tǒng)之外。

如果未經(jīng)授權(quán)的用戶獲得訪問(wèn)權(quán)限，那么他們可能獲得對(duì)多個(gè)應(yīng)用程序的訪問(wèn)權(quán)限。

以上就是關(guān)于“Java單點(diǎn)登錄原理”的介紹，大家如果對(duì)此比較感興趣，想了解更多相關(guān)知識(shí)，不妨來(lái)關(guān)注一下動(dòng)力節(jié)點(diǎn)的Java視頻教程，里面的課程內(nèi)容由淺到深，細(xì)致全面，通俗易懂，很適合沒有基礎(chǔ)的小伙伴學(xué)習(xí)，希望對(duì)大家能夠有所幫助哦。