应用安全四十二：SSO安全

一、什么是SSO

SSO是单点登录（Single Sign On）的缩写，是指在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。这种方式减少了由登录产生的时间消耗，辅助了用户管理，是比较流行的企业业务整合的解决方案之一。

身份验证过程依赖于双方之间的信任关系——身份提供者(IDP)和服务提供者(SP是最终用户想要访问的应用程序)。在最常见的身份验证流下，当用户希望访问服务提供者时，将使用SAML请求消息将其重定向到身份提供者(IDP)。如果用户尚未登录，身份提供者将对其进行身份验证，如果验证成功，它将使用SAML响应消息(通常在POST请求的正文中)将用户重定向回服务提供者。SAML响应消息将包含一个标识用户并描述一些条件的断言(响应的过期时间和访问的范围，该限制声明断言对哪个服务有效)。服务提供者应该验证响应、断言和条件，并且只有在身份验证成功时才向用户提供对应用程序的访问权限。

二、SSO带来的好处

当用户第一次访问应用系统的时候，因为还没有登录，会被引导到IDP认证系统中进行登录；根据用户提供的登录信息，IDP认证系统进行身份校验，如果通过校验，应该返回给用户一个认证的凭据——ticket；用户再访问别的应用的时候就会将这个ticket带上，作为自己认证的凭据，应用系统接受到请求之后会把ticket送到认证系统进行校验，检查ticket的合法性。

启用SSO之前：

启用SSO之后：

现在的大部分公司内部用用系统很多，有项目管理系统、bug管理系统、知识管理系统、邮件管理系统、远程机器访问管理等等。如果每访问一次系统都要输入一次密码，确实很麻烦。由于SSO只需要登录一次，就可以访问很多应用，给内部办公带来很多便利，大大提高效率的同时，也给IT管理人员减少了很多工作量。

SSO主要的优点如下：

1. 方便用户：用户只需一次登录，就可以访问所有相互信任的应用系统，无需每次输入用户名和密码，也不需要记住多套用户名和密码。用户更愿意使用复杂的密码策略，促进了安全密码策略的实施。这提高了用户体验，特别是对于需要访问多个系统的用户来说。
2. 方便管理员：管理员只需要管理一套统一的用户账号，方便、简单。相比之下，管理员以前需要管理很多套的用户账号，这不仅给管理上带来不方便，而且容易出现管理漏洞。特别是员工离职时，需要针对多套系统禁用离职员工相关的账号，经常导致会有所遗漏。之前公司就有个同事离职之后，因为账号管理的失误，依然可以使用一个对外的在线网站系统，后来公司强制使用SSO之后，也就自然而然堵上了这个漏洞。管理员可以通过单点登录平台集中管理所有用户的账号和密码信息，方便快捷地进行用户管理。
3. 简化应用系统开发：开发新的应用系统时，可以直接使用单点登录平台的用户认证服务，简化开发流程。单点登录平台通过提供统一的认证平台，实现