单点登录
此条目需要扩充。 (2018年10月4日) |
此条目需要补充更多来源。 (2018年10月4日) |
单点登录(英语:Single sign-on,缩写为 SSO),又译为单一签入,一种对于许多相互关连,但是又是各自独立的软件系统,提供访问控制的属性。当拥有这项属性时,当用户登录时,就可以获取所有系统的访问权限,不用对每个单一系统都逐一登录。这项功能通常是以轻型目录访问协议(LDAP)来实现,在服务器上会将用户信息存储到LDAP数据库中。相同的,单一退出(single sign-off)就是指,只需要单一的退出动作,就可以结束对于多个系统的访问权限。
优点
使用单点登录的好处包括:
- 降低访问第三方网站的风险(不存储用户密码,或在外部管理)。
- 减少因不同的用户名和密码组合而带来的密码疲劳。
- 减少为相同的身份重新输入密码所花费的时间。
- 因减少与密码相关的调用IT服务台的次数而降低IT成本。[1]
SSO为所有其它应用程序和系统,以集中的验证服务器提供身份验证,并结合技术以确保用户不必频繁输入密码。
安全
2012年3月,一篇研究论文报告了对社会登录机制的一项广泛研究。该文作者发现了8项严重的逻辑漏洞,出现在备受瞩目的ID提供者和依赖方网站中,如OpenID(包括Google账户和PayPal Access)、Facebook、Janrain、Freelancer.com、FarmVille和Sears。由于研究人员在公布所发现的缺陷之前,就通知了各ID提供者和依赖方网站,因此这些漏洞已经被及时堵上,因而并没有出现安全隐患的报告。[2]
2014年5月,隐蔽重定向漏洞被披露。[3]该漏洞在《OAuth 2.0和OpenID相关的隐蔽重定向漏洞》中首次被报告,发现者是新加坡南洋理工大学数学博士生王晶(Wang Jing)。[4][5][6]事实上,几乎所有的单点登录协议都受影响。隐蔽重定向利用了易受跨站脚本或公开重定向攻击的第三方客户端。[7]
参考文献
- ^ Benefits of SSO [单点登录的好处]. University of Guelph. [2014-05-23]. (原始内容存档于2020-09-19) (英语).
- ^ 王锐; 陈硕; 王晓锋. Signing Me onto Your Accounts through Facebook and Google: a Traffic-Guided Security Study of Commercially Deployed Single-Sign-On Web Services [通过Facebook和Google把我登录你的账户:一项针对商业部署单点登录网页服务的以流量为导向的安全研究]. [2014-11-10]. (原始内容存档于2016-04-13) (英语).
- ^ Facebook, Google Users Threatened by New Security Flaw [新安全漏洞威胁Facebook和Google用户]. Tom's Guid. 2014-05-02 [2014-11-11]. (原始内容存档于2019-07-25) (英语).
- ^ Covert Redirect Vulnerability Related to OAuth 2.0 and OpenID [OAuth 2.0和OpenID相关的隐蔽重定向漏洞]. Tetraph. 2014-05-01 [2014-11-10]. (原始内容存档于2014-10-16) (英语).
- ^ 兩款互聯網登錄系統曝出重大漏洞 短期內或無法修復. 凤凰网. 2014-05-03 [2014-11-10]. (原始内容存档于2014-11-08).
- ^ OAuth與OpenID登錄工具曝出重大漏洞. 网易. 2014-05-03 [2014-11-10]. (原始内容存档于2014-11-08).
- ^ Covert Redirect Flaw in OAuth is Not the Next Heartbleed [OAuth中的隐蔽重定向漏洞不是下一个让心脏出血的漏洞]. 赛门铁克. 2014-05-03 [2014-11-10]. (原始内容存档于2019-06-12) (英语).