咱不说啥“跨越金山岭”,单点登录实际上就挺土味,就连有点低配。它本质上就是个“借 ID 卡”的事儿。你电脑里早就存了个“管理员”账号密码,那玩意儿就是你的“身份证”。
只要有人(要么是类似厂商的服务器)发个 ID 卡给你,你不用管自己密码在不在,直接刷这个 ID 卡在系统门禁上就行,系统自动放行。
这就跟你去银行,刷信用卡比去柜台刷银行卡快多了,还不用自己记密码。 技术深一点说,就是身份识别和比对。你登录系统,系统得先认识你是哪位。
这时候,身份管理器(Identity Manager)就像个门卫,负责记账。
记住,它不在乎你是通过 SSO 还是直接敲密码,它只认结局:你是“张三”还是“李四”。匹配上了,就让你进;匹配上了,就登录成功。 技术上最讲究的是“单”字。
意思是,系统里只认这一个身份。你登录了 A 系统,B 系统自动拿到这个身份,你也认。你登录了 C 系统,B 系统还是认你这 ID,不用你专门去 A 系统一次。
这要是像目前某些大厂,每次进系统都得去个网页填一次,那体验就是“开盲盒”,概率极低。
故此,单点登录的核心就是“把身份复用”,让系统多一个入口,省掉重复的输入。 实际上原理挺好办,就是三个步骤走通。
第一步是认证,你得先证明你是真人类,不是机器人,要么不是坏人,这一般靠服务器里的数据库做判断。
第二步是授权,判断你有权进这个门,要么这个数据给你看。
第三步是会话管理,就是让电脑知道你目前在线,别挂了。 这流程里,有个细节挺关键,就是“身份映射”。
有时候你登录的是账号 A,但系统里存的是账号 B,这不算乱。就像你在餐厅点了个菜,服务员拿着单子跑那会儿,最终菜还是你那个口味。身份映射就是让系统明白:“哦,原来你之前叫张三,目前这个 ID 也是张三”。没映射,每次都得重新确认你是哪位,那效率直接原地起飞。 想搞懂原理,不如看看实际效果。咱们拿个虚拟公司做个比方。假设 A 部门有 100 人,B 部门有 50 人。老板规定,全员走 SSO。 那年头没 SSO 之前,咱们算笔账。假设 2020 年,A 部门全员登录。算出 100 个账号。再加上 B 部门,50 个账号。数据库得存 150 条记录。 到了 2024 年,用了 SSO。A 部门那 100 人,他们的账号还在,不用改。B 部门那 50 人,他们的账号也还在。系统里还是那 150 条记录,不用变。 你看,不管员工如何进出,后台数据库只要 150 条,哪位也不变。
这就是“单点登录”的魔力:身份认同不重复,系统数据不爆炸。 有时候,单点登录还会遇到“多租户”的难题。
比如一个系统里,A 公司和人,B 公司和人,分两个房间住。A 公司的人只能打 A 公司的电话,B 公司的人只能打 B 公司的电话。
这时候,系统得知道“你是哪位”。
这时候的单点登录就变成“多租户单点登录”,得把公司、部门、个人都串起来。 技术进阶里有个事,就是“密码策略”。
那会儿,你登了 A 系统,密码密码,再登 B 系统,又要猜密码。目前,SSO 就是直接把 A 系统的密码发给你,你登 B 系统直接用。你不用记两套密码,不用记两个账号,系统给你发个“临时通行证”。
这就像你去银行,带个银行卡和身份证,去另一个网点刷,不用自己记密码。 自然,SSO 也不是万能的。有些老旧系统,那时候没这个概念,要么保险策略忒严,不准“借”身份。
这时候,你得在架构上升级,要么在应用层做兼容。 最终说说那些不靠谱的尝试。
有时候,SaaS 厂商为了省事,搞个“一键登录”,结局那个“一键”实际上是厂商自己的 ID。你搜了“微信登录”,结局那是腾讯的微信。
这归于“认知偏差”。真正的单点登录,是系统里的那个“单”,不是用户当作自己用的那个“一键”。 总而言之,单点登录就是个好办的身份复用工具。它让登录从“重复劳动”变成“一次投入”,让系统变得轻便。
只要别把“单点”理解成“唯一”,理解成“复用”,那它在现代网络空间里,就是个标配。别过度设计,有时候,好办的“借 ID 卡”比复杂的“多人密码”管用多了。
