Ngày nay, hầu hết các trang web đều yêu cầu xác thực người dùng thì mới có thể truy cập vào chức năng và nội dung của họ. Với sự gia tăng của số lượng các trang web, thì đương nhiên, số lượng tài khoản mà mỗi người dùng cần có sẽ tăng theo.Thử tưởng tượng bạn đang sử dụng 10 dịch vụ khác nhau, mà mỗi tài khoản để truy cập các dịch vụ này thì đều yêu cầu tối thiểu 2 thông tin cơ bản là user name và password. Chà, việc ghi nhớ hết chỗ này cũng mệt lắm đây! Vậy thì thông minh hơn một chút, là sẽ sử dụng user name và password của các dịch vụ này là y hệt nhau. Nhưng mà với 10 dịch vụ, thì việc đăng nhập 10 lần là không thể tránh khỏi !!! Và vì thế, single sign-on ra đời.
Single Sign-On, đúng như tên gọi, là cơ chế cho phép người dùng có thể truy cập nhiều trang web, ứng dụng mà chỉ cần đăng nhập một lần. Một khi đã được định danh ở một trang website A, thì cũng sẽ được định danh tương tự ở website B mà không cần lặp lại thao tác đăng nhập.
Một vài lợi ích có thể kể đến của single sign-on là:
Tuy nhiên, một vài hạn chế không thể không kể đến:
Hệ thống nhận dạng liên kết (Federated Identity Glossary) là nơi tập trung và liên kết thông tin người dùng. Có 4 yếu tố nền tảng cấu thành nên hệ thống này:
Xác thực có nghĩa là: kiểm tra thông tin đăng nhập và tiến hàng định danh người dùng.
Phân quyền dựa trên thông tin định danh để kiểm tra quyền truy cập của user.
Trao đổi thông tin người dùng Mỗi hệ thống con sẽ cần và lưu trữ các thông tin khác nhau của người dùng, tuy nhiên sẽ có các thông tin bị lặp lại, ví dụ như tên, họ…. Do đó, cần có một nơi để tổng hợp lại các thông tin này, và trao đổi cho các hệ thống con.
Quản lí người dùng admin có thể quản lí người dùng bằng các thao tác thêm, sửa, xóa… ở các hệ thống con.
Single sign-on là một phần của hệ thống nhận dạng liên kết, có liên quan chặt chẽ với việc xác thực thông tin người dùng. Nó sẽ định danh người dùng, và sau đó chia sẻ thông tin định danh được với các hệ thống con.
Một user khi đăng nhập vào hệ thống A thì domain của A sẽ lưu thông tin định danh vào cookie, để user này cũng là đã đăng nhập khi truy cập vào hệ thống B thì domain B sẽ phải đọc được cookie của A tạo ra, nhưng điều này là không thể. Với các trình duyệt hiện nay, domain chỉ có thể truy cập cookie do chính nó tạo ra.
Vì vậy, single sign-on sẽ phải chia sẻ thông tin cookie giữa các domain với nhau. Mỗi giao thức single sign-on sẽ có cơ chế chia sẻ khác nhau, nhưng điểm chung đều là tạo ra một domain trung tâm (central domain). Qua domain này, thông tin về cookie sẽ được chia sẻ đến các domain con. Ví dụ, central domain có thể tạo ra một json web token (jwt) và mã hóa nó. Khi ngươi dùng truy cập vào domain con thì sẽ được điều hướng đến domain trung tâm này, và token sẽ được trả lại và lưu ở phía trình duyệt. Sau đó, nếu người dùng tiếp tục truy cập vào domain con khác thì tương tự, cũng sẽ được điều hướng đến domain trung tâm, nhưng do lần này đã có token nên sẽ được định danh và việc đăng nhập lại là không cần thiết nữa.
Browser lưu cookie như nào?
Tôi đang hiểu là mỗi domain sẽ có 1 storage riêng trong local storage tổng để lưu cookie. Khi access đến domain1 và được redirect đến central domain xong thì sẽ có cookie lưu trong storage của domain1 và central, sau đó, với domain2 thì làm thế nào để lấy được cookie của central?
Social login cũng là một dạng của single sign-on, là sử dụng những thông tin đăng nhập sẵn có của các hệ thống mạng xã hội như Facebook, Google, …, người dùng có thể đăng kí vào các service thứ ba mà không cần tạo tài khoản. Và domain trung tâm khi này sẽ là domain của các mạng xã hội.
Tham khảo nội dung từ bài viết: https://auth0.com/blog/what-is-and-how-does-single-sign-on-work/
You need to login in order to like this post: click here
YOU MIGHT ALSO LIKE