统一账号登录系统（单点登录）解决方案

一、     统一账号（单点登录）的概念——－单点登录（Single Sign On）

我们无时无刻在使用单点登录，如：我们登录Gmail邮箱登录时，我们不仅仅的是使用邮箱，我们还可以使用Gtalk、Google图书等不同的产品。单点登录的含义就是：在多个登录系统中，用户只需要登录一次就可以了，不需要在其它系统重新登录。

 

二、     关键数据

 

三、     数据如何保护

1.       数据加密   

                     i.           可逆加密 or 不可逆加密，选择可逆加密算法  DES   Triple DES AES  (一般反向可以获取数据

                   ii.           公共密钥  or各应用建立独立的密钥，这里选择独立的密钥；每个系统应用都有一个唯一的AppId和一个与其对应的登录密钥；不同的应用系统使用不同的密钥，目的是为了防止伪造密钥在各应用系统之间相互登录。

2.       密钥管理

                     i.           SSO 系统 统一管理各个系统的密钥

                   ii.           根据AppId区分应用系统

                  iii.           SSO系统也是一个应用，有自己独立的密码

                  iv.           密钥有一定的时效性，会过期

四、     授权凭证信息

讯享网

1.       SSO应用系统登录时，SSO会验证用户身份，并向应用返回一个代表用户身份的凭证。

2.       凭证一般类似BASE64字符串的形式存在

3.       凭证中包含的加密信息。SSO应用系统俊拥有凭证密钥。可解开凭证的用户的身份信息。

4.       凭证一般包括：

                     i.           加密信息用户名、用户ID、凭证生成时间、凭证时效时间

                   ii.           未加密信息，如AppID

5.       密钥的解密和

 

6.       授权凭证的验证和解析

                     i.           两种验证

1)     SSO服务验证   credential->App Server->SSO Server  桌面系统

2)     应用自行验证   credential->App Server–SSO Server  B/S系统

 

五、     授权凭证的验证流程

1、          晓验APPID

2、          根据密钥编号对应找出密钥解密数据

3、          效验Hash值

4、          效验IP

5、          效验授权凭证是否到期

6、          更新授权凭证

 

六、     客户端单点登录系统流程（本质的意义时系统应用之间授权凭证之间的交换）

 

七、     不同站点之间的应用

 

伪造凭证，必须知道算法和协议，所以时很难伪造凭证的。

 

SSO单点登录系统，只是解决登录的问题，关于权限的问题还需要各应用系统自己处理。

因此关于权限，需要由系统提供接口

八、     结束