为什么说
WEB-SSO
比较容易实现呢?这是有
WEB
应用自身的特点决定的。
众所周知,
Web
协议(也就是
HTTP
)是一个无状态的协议。一个
Web
应用由很多个
Web
页面组成,每个页面都有唯一的
URL
来定义。用户在浏览器的地址栏输入页面的
URL
,浏览器就会向
Web Server
去发送请求。如下图,浏览器向
Web
服务器发送了两个请求,申请了两个页面。这两个页面的请求是分别使用了两个单独的
HTTP
连接。所谓无状态的协议也就是表现在这里,浏览器和
Web
服务器会在第一个请求完成以后关闭连接通道,在第二个请求的时候重新建立连接。
Web
服务器并不区分哪个请求来自哪个客户端,对所有的请求都一视同仁,都是单独的连接。这样的方式大大区别于传统的(
Client/Server
)
C/S
结构
,
在那样的应用中,客户端和服务器端会建立一个长时间的专用的连接通道。正是因为有了无状态的特性,每个连接资源能够很快被其他客户端所重用,一台
Web
服务器才能够同时服务于成千上万的客户端。
但是我们通常的应用是有状态的。先不用提不同应用之间的
SSO
,在同一个应用中也需要保存用户的登录身份信息。例如用户在访问页面
1
的时候进行了登录,但是刚才也提到,客户端的每个请求都是单独的连接,当客户再次访问页面
2
的时候,如何才能告诉
Web
服务器,客户刚才已经登录过了呢?浏览器和服务器之间有约定:通过使用
cookie
技术来维护应用的状态。
Cookie
是可以被
Web
服务器设置的字符串,并且可以保存在浏览器中。如下图所示,当浏览器访问了页面
1
时,
web
服务器设置了一个
cookie
,并将这个
cookie
和页面
1
一起返回给浏览器,浏览器接到
cookie
之后,就会保存起来,在它访问页面
2
的时候会把这个
cookie
也带上,
Web
服务器接到请求时也能读出
cookie
的值,根据
cookie
值的内容就可以判断和恢复一些用户的信息状态。
Web-SSO
完全可以利用
Cookie
结束来完成用户登录信息的保存,将浏览器中的
Cookie
和上文中的
Ticket
结合起来,完成
SSO
的功能。
为了完成一个简单的
SSO
的功能,需要两个部分的合作:
- 统一的身份认证服务。
- 修改Web应用,使得每个应用都通过这个统一的认证服务来进行身份效验。