2024-07-12
한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina
L'authentification unique (SSO) est un mécanisme d'authentification qui permet aux utilisateurs de se connecter à l'aide d'un seul identifiant sur plusieurs applications et sites Web. Cela signifie que les utilisateurs ne doivent se connecter qu'une seule fois sur plusieurs applications ou services. L'authentification donne accès à tous les services autorisés.
Utilisez le mécanisme de cookie du domaine parent pour définir un cookie partagé sous le nom de domaine principal. Le nom du sous-domaine peut lire ce cookie pour confirmer l'identité de l'utilisateur.
Cette méthode convient au SSO entre plusieurs sous-domaines sous le même nom de domaine principal, mais elle n'est pas applicable si les noms de domaine principaux sont différents.
Avantages : Simple à mettre en œuvre, adapté à plusieurs sous-domaines sous le même nom de domaine principal.
Inconvénients : ne convient pas aux noms de domaine inter-principaux, faible sécurité et vulnérable aux attaques de l'homme du milieu et aux attaques de scripts intersites (XSS).
Une fois que l'utilisateur s'est authentifié auprès du fournisseur d'identité, il obtient un jeton (tel qu'un jeton d'accès ou JWT dans OAuth).
Le jeton est stocké côté client (comme Cookie, LocalStorage) ou côté serveur (comme Session). Lorsque l'utilisateur accède à d'autres applications, l'application utilise le jeton pour vérifier l'identité de l'utilisateur.
Cette méthode prend en charge plusieurs domaines et est plus sécurisée car le jeton peut être crypté.
Avantages : prend en charge plusieurs domaines, le jeton peut être crypté pour la transmission, améliorant ainsi la sécurité ; le jeton peut être stocké hors ligne, réduisant ainsi la charge du serveur.
Inconvénients : la période de validité et la sécurité du jeton doivent être correctement gérées pour éviter les fuites de jetons. Si JWT est trop long, cela peut affecter les performances.
Le service d'authentification centralisé sert de point d'entrée unique et toutes les applications s'appuient sur lui pour l'authentification.
Une fois que l'utilisateur s'est connecté au serveur CAS/SAML, le serveur CAS/SAML générera un ticket ou une assertion et le transmettra à l'application. L'application utilisera ensuite ce ticket ou cette assertion pour communiquer avec le serveur CAS/SAML afin de confirmer le. l'identité de l'utilisateur.
CAS et SAML sont deux protocoles d'authentification centralisés largement utilisés.
Avantages : Fournit des solutions SSO standardisées, faciles à intégrer ; capables de prendre en charge une variété d’applications et de services différents.
Inconvénients : les services centralisés peuvent devenir des points de défaillance uniques ; la configuration et la maintenance sont complexes.
Grâce au stockage de session partagé (tel que Redis, Memcached), toutes les applications peuvent accéder au même stockage de session.
Une fois que l'utilisateur s'est connecté à une application, les informations de session sont écrites dans le stockage partagé et d'autres applications peuvent déterminer le statut de l'utilisateur en lisant cette session partagée.
Avantages : évolutivité et disponibilité améliorées des applications, les données de session peuvent être partagées dans le cluster.
Inconvénients : Dépendance accrue à l’égard des systèmes de stockage partagés, la défaillance du système de stockage affectera l’ensemble du processus SSO.
LDAP est utilisé pour stocker et récupérer des informations sur les utilisateurs et les groupes sur le réseau, prenant en charge le SSO.
L'application vérifie l'identité de l'utilisateur en interrogeant le serveur LDAP, évitant ainsi à chaque application d'avoir à conserver les informations utilisateur séparément.
Avantages : Facile à gérer et à interroger les informations utilisateur, adapté aux environnements de grandes entreprises.
Inconvénients : Relativement complexe à configurer et à maintenir, ne convient pas aux petits projets ou aux projets temporaires.
OAuth 2.0 est un cadre d'autorisation OpenID Connect (OIDC) basé sur OAuth 2.0 et fournit des fonctions d'authentification.
Une fois qu'un utilisateur se connecte à un serveur d'autorisation, le serveur d'autorisation émet des jetons à l'application client, et l'application utilise ces jetons pour accéder aux serveurs de ressources ou confirmer l'identité de l'utilisateur.
Avantages : Interface standardisée, applications tierces faciles à intégrer ; prend en charge plusieurs modes d’autorisation.
Inconvénients : il existe de nombreux détails de mise en œuvre et les mesures de sécurité doivent être soigneusement conçues ; des autorisations excessives peuvent poser des problèmes ;
Kerberos est un protocole d'authentification réseau, particulièrement adapté aux environnements réseau internes d'entreprise et prend en charge le SSO.
Kerberos utilise un mécanisme de ticket (Ticket) pour authentifier les utilisateurs et les services. Après s'être connecté, l'utilisateur recevra une série de tickets, qui pourront être utilisés pour accéder à d'autres services du réseau sans avoir à saisir à nouveau un mot de passe.
Avantages : Haute sécurité, adapté aux réseaux internes des grandes entreprises ; prend en charge plusieurs mécanismes d'authentification.
Inconvénients : Configuration complexe et coûts de maintenance élevés ; limité aux réseaux internes et non adapté aux environnements Internet.
Il se consacre à la recherche technologique depuis plus de 30 ans et maîtrise divers langages tels que java, linux, javascript, php, css, etc. Il a apporté de nombreuses contributions dans le domaine de l'open source. station de documentation pour les développeurs pour partager certains problèmes de développement technologique pour référence future.
