1. 统一用户中心
企业发展初期,系统设计不多,可能只有一个系统就可以满足业务需求,用户也只需要用账号和密码登录即可完成认证。但是随着业务的迭代发展,系统架构会随之迭代,演变越来越多的子系统,用户每进入一个系统可能都需要登录一次,才能进行相关操作。为解决此问题,便产生了单点登录,即在一个多系统共存的环境下,用户在一处登录后,就不用在其他系统中登录,就得到其他所有系统的信任。
1.1. 建设目标
用户认证中心,不提供鉴权的能力
- 建设企业统一的用户中心,统一管理企业用户元数据信息。
- 用户在全公司的系统登录能力,一键管理
1.2. 专有名词
- OAuth 2.0: 一种授权标准,允许用户在一个站点向其他站点授予对其资源的有限访问权限,而无需获得其凭证(通常是账号密码)。举个例子,你在手机上点击「使用微信登录」时都会使用此标准,并且系统会询问你是否同意与该应用共享你的头像、昵称等数据。
- Open ID Connect: 这是 OAuth 2.0 的一个超集,他在 OAuth 2.0 之上提供了更多用户信息和获取权限和标准,比如他定义了用户的头像为 picture。
- JSON Web Tokens: 一种开放标准,主要用来安全的传输信息,他的格式非常紧凑和独立,解析之后是一种 JSON 格式。
- Security Assertion Markup Language (SAML): 一种基于 XML 的开放数据格式,SAML 允许企业应用程序和内部、外部程序无缝连接。
- LDAP: 你可以把轻量目录访问协议(Lightweight Directory Access Protocol,简称 LDAP)理解为一个树型的用来存储用户和组织信息的数据库,常被用来做单点登录( SSO )和企业员工信息管理。
- CAS: 集中式认证服务(Central Authentication Service,简称 CAS)是一种单点登录协议。它的目的是允许一个用户访问多个应用程序,而只需向认证服务器提供一次凭证(如用户名和密码)。这样用户不仅不需在登录 Web 应用程序时重复认证,而且这些应用程序也无法获得密码等敏感信息。
- 单点登录(Single Sign On):简称为 SSO,是比较流行的企业业务整合的解决方案之一。SSO 的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。