單一登入

(重定向自单点登录

單一登入(英語:Single sign-on,縮寫為 SSO),又譯為單一簽入,一種對於許多相互關連,但是又是各自獨立的軟體系統,提供存取控制的屬性。當擁有這項屬性時,當使用者登入時,就可以取得所有系統的存取權限,不用對每個單一系統都逐一登入。這項功能通常是以轻型目录访问协议(LDAP)來實作,在伺服器上會將使用者資訊儲存到LDAP資料庫中。相同的,單一登出(single sign-off)就是指,只需要單一的登出動作,就可以結束對於多個系統的存取權限。

優點

使用單點登錄的好處包括:

  • 降低訪問第三方網站的風險(不存儲用戶密碼,或在外部管理)。
  • 減少因不同的用戶名和密碼組合而带来的密碼疲勞英语Password fatigue
  • 減少为相同的身份重新輸入密碼所花費的時間。
  • 因减少与密码相关的呼叫IT服务台的次数而降低IT成本。[1]

SSO为所有其它應用程序和系統,以集中的验证服务器提供身份驗證,並結合技術以確保用戶不必频繁輸入密码。

安全

2012年3月,一篇研究论文报告了對社会登录英语Social login機制的一项廣泛研究。该文作者發現了8项嚴重的邏輯漏洞,出现在备受瞩目的ID提供者和依賴方網站中,如OpenID(包括Google账户和PayPal Access)、FacebookJanrain英语JanrainFreelancer.com英语Freelancer.comFarmVilleSears。由於研究人員在公佈所發現的缺陷之前,就通知了各ID提供者和依賴方網站,因此这些漏洞已经被及时堵上,因而並沒有出现安全隱患的報告。[2]

2014年5月,隱蔽重定向漏洞被披露。[3]该漏洞在《OAuth 2.0和OpenID相關的隱蔽重定向漏洞》中首次被报告,发现者是新加坡南洋理工大學數學博士生王晶(Wang Jing)。[4][5][6]事實上,幾乎所有的單一登入協議都受影響。隱蔽重定向利用了易受跨站脚本或公開重定向攻击的第三方客戶端。[7]

參考文獻

外部連結