单点登录（SSO）详解

一、基本概念

单点登录（Single Sign-On，简称SSO）是一种身份认证解决方案，允许用户使用一组登录凭证（如用户名/密码）访问多个相互信任的应用程序系统，而无需在每个系统中重复登录。

二、核心价值

1. 用户体验提升：只需一次登录，畅享所有关联服务

2. 管理效率提高：集中管理用户身份和权限

3. 安全性增强：减少密码疲劳导致的弱密码问题

4. 运维成本降低：统一认证，减少密码重置请求

三、工作原理

1. 典型SSO流程（以Web为例）

mermaid

复制

sequenceDiagram
    participant 用户
    participant 应用A
    participant SSO认证中心
    participant 应用B
    
    用户->>应用A: 访问需要登录的资源
    应用A->>SSO认证中心: 重定向到认证页面
    用户->>SSO认证中心: 输入凭证登录
    SSO认证中心->>用户: 颁发认证令牌
    用户->>应用A: 携带令牌访问
    应用A->>SSO认证中心: 验证令牌有效性
    SSO认证中心->>应用A: 返回验证结果
    应用A->>用户: 授予访问权限
    
    用户->>应用B: 访问另一关联应用
    应用B->>SSO认证中心: 验证现有会话
    SSO认证中心->>应用B: 确认已认证
    应用B->>用户: 直接授予访问权限

2. 关键技术组件

• 认证中心（Identity Provider, IdP）：负责用户身份验证的核心系统

• 服务提供方（Service Provider, SP）：依赖IdP的各个应用系统

• 安全令牌：通常采用SAML、JWT、OAuth令牌等格式

• 会话管理：维护跨系统的登录状态

四、常见实现协议

协议	特点	适用场景
SAML	XML标准，企业级安全	企业应用集成（如Office 365）
OAuth	授权而非认证，适合开放平台	社交登录（如微信登录）
OpenID Connect	OAuth的认证扩展	现代Web/移动应用
CAS	简单开源协议	学术机构内部系统
Kerberos	基于票据的协议	Windows域环境

五、典型应用场景

1. 企业内网门户：一次登录访问OA、CRM、ERP等系统

2. 互联网服务：如Google账号登录YouTube/Gmail/Drive

3. 政务服务：统一身份认证平台对接多个政府部门系统

4. 教育系统：校园账号通用于图书馆、选课、邮箱等

5. 医疗系统：医生单点登录HIS、PACS、电子病历系统

六、安全注意事项

1. 令牌安全：设置合理有效期，采用HTTPS传输

2. 会话劫持防护：绑定IP/设备指纹，定期轮换令牌

3. 权限最小化：不同应用分配不同权限级别

4. 审计日志：记录所有认证和访问事件

5. 备用认证：主认证不可用时提供备用登录方式

七、实施挑战

1. 遗留系统改造：老旧系统可能不支持标准协议

2. 跨域问题：需处理Cookie/令牌的跨域共享

3. 用户体验平衡：安全要求（如MFA）可能影响便捷性

4. 协议选择：不同协议在移动端/Web端的兼容性差异

现代SSO解决方案如Okta、Azure AD、阿里云IDaaS等，提供了开箱即用的实现方案，大大降低了企业部署SSO的门槛。