单点登录(Single Sign-On,SSO)不是功能模块,而是企业级身份治理的基础设施。某金融客户上线亿登科技IDaaS平台后,员工跨17个内部系统平均登录耗时从83秒降至1.2秒,IT支持工单下降64%。SSO本质是将认证权从应用层上收至中央身份提供者(IdP),各应用(SP)只负责授权与业务逻辑。关键指标在于会话一致性——用户在A系统登录后,访问B系统时无需二次输入凭证,且登出时所有关联会话同步失效。亿登科技在2023年交付的32个SSO项目中,91%采用基于OAuth2.0的令牌中继模式,而非传统Cookie域共享,因后者在跨域、移动端、微服务场景下存在固有缺陷。
早期SSO依赖浏览器同源策略下的Cookie共享。例如,将主域名设为yidengtech.com,各子系统部署在portal.yidengtech.com、crm.yidengtech.com等子域下,中央认证中心(如亿登统一认证网关)在用户首次登录后写入Domain=yidengtech.com的Cookie,并通过HTTP-only+Secure标记保障安全。后续请求中,浏览器自动携带该Cookie,各子系统校验其有效性即可。但该方案在现代架构中暴露明显短板:无法支撑APP、小程序等无Cookie环境;跨域调用(如React前端调用Spring Cloud微服务)需CORS预检;JWT替代Session后,服务端状态管理成本激增。亿登科技在2022年某政务云项目中,曾因Cookie方案导致微信公众号H5页面频繁401,最终切换至OIDC隐式流解决。
OAuth2.0本身是授权框架,不直接解决认证问题,但与OpenID Connect(OIDC)组合后构成工业级SSO标准。OIDC在OAuth2.0基础上扩展了id_token(JWT格式),包含sub(用户唯一标识)、iss(IdP地址)、exp(过期时间)等声明。亿登科技开源的SpringBoot OAuth2 SSO示例展示了Authorization Code Flow全流程:用户重定向至亿登IdP登录页→IdP返回code→客户端用code换token→解析id_token获取用户身份。关键实践要点:必须校验id_token的签名(RS256)、issuer、audience;避免使用implicit flow处理敏感应用;token刷新需绑定设备指纹。延伸阅读:OAuth2.0在企业SSO中的落地陷阱。
SAML 2.0仍是金融、医疗等强合规行业的首选,尤其适配AD/LDAP存量环境。其核心是XML签名断言(Assertion),由IdP生成包含AuthenticationStatement和AttributeStatement的加密XML,经HTTP-POST或HTTP-Redirect传输至SP。亿登科技提供的SAML IdP支持元数据自动发现、多租户证书轮换、SP-initiated与IdP-initiated双模式。某国有银行采用亿登SAML方案对接38个外围系统,要求所有SAML响应必须启用SHA-256签名及AES-256加密,且IdP签发的Assertion有效期严格控制在5分钟内。实测数据显示,SAML流程平均延迟比OIDC高42ms,但审计日志完整性提升300%。参考实现:SpringBoot SAML SSO示例。
亿登科技IDaaS平台已迭代至v4.3,其SSO引擎支持协议动态路由:同一用户请求可按目标应用类型自动选择OIDC(Web应用)、SAML(传统ERP)、CAS(高校系统)或自定义API Token(IoT设备)。核心创新在于会话联邦(Session Federation)——当用户在亿登门户登录后,系统生成全局会话ID(gsid),并为每个接入应用颁发独立的短期会话令牌(ttl=15min),避免单点故障。2023年Q3压力测试显示,该架构在10万并发下会话同步延迟<80ms。对于轻量级需求,推荐直接使用亿登令牌小程序,免安装、免配置,扫码即用。更多架构细节见:亿登IDaaS统一身份认证平台。