伺服器單點是怎麼回事

1. 單點登錄是什麼意思

單點登錄是指用戶只需要登錄一次就可以訪問所有相互信任的應用系統。

單點登錄其中有一個非常關鍵的步驟，這個步驟與伺服器端驗證令牌方式無關，用最早的共享會話方式或當前的令牌方式，標識到瀏覽器端。用戶登錄成功後，瀏覽器如何在其他域名中存儲和共享令牌相同的域名非常簡單。

令牌存儲在cookie中路徑設置在頂級域名下，以便所有子域都可以讀取cookie中的令牌。這就是分享網路的方式。通常，運營和維護內部控制審計系統和4A系統都包含這一功能。其目的是簡化賬戶登錄流程，保護賬戶和密碼的安全，統一管理賬戶。

(1)伺服器單點是怎麼回事擴展閱讀

單點登錄可以提高用戶效率。用戶不再為多次登錄而煩惱，也不需要記住多次ID和密碼。此外，用戶會忘記自己的密碼，很少求助於支持人員。提高開發人員的效率為開發人員提供了一個通用的身份驗證框架。

事實上，如果機制是獨立的，開發人員根本不需要擔心身份驗證。只要將用戶名附加到應用程序的請求中，就可以假定身份驗證完成。如果應用程序加入單點登錄協議，那麼管理用戶帳戶的負擔就會減輕。簡化的程度取決於應用程序，因為SSO只處理身份驗證。

2. 求解！單點登錄怎麼實現的

單點登錄（Single Sign On），簡稱為 SSO，是目前比較流行的企業業務整合的解決方案之一。SSO的定義是在多個應用系統中，用戶只需要登錄一次就可以訪問所有相互信任的應用系統。企業應用集成（EAI）。企業應用集成可以在不同層面上進行：例如在數據存儲層面上的「數據大集中」，在傳輸層面上的「通用數據交換平台」，在應用層面上的「業務流程整合」，和用戶界面上的「通用企業門戶」等等。事實上，還用一個層面上的集成變得越來越重要，那就是「身份認證」的整合，也就是「單點登錄」。單點登錄的技術實現機制：當用戶第一次訪問應用系統1的時候，因為還沒有登錄，會被引導到認證系統中進行登錄；根據用戶提供的登錄信息，認證系統進行身份效驗，如果通過效驗，應該返回給用戶一個認證的憑據－－ticket；用戶再訪問別的應用的時候，就會將這個ticket帶上，作為自己認證的憑據，應用系統接受到請求之後會把ticket送到認證系統進行效驗，檢查ticket的合法性。如果通過效驗，用戶就可以在不用再次登錄的情況下訪問應用系統2和應用系統3了。可以看出，要實現SSO，需要以下主要的功能：所有應用系統共享一個身份認證系統；所有應用系統能夠識別和提取ticket信息；應用系統能夠識別已經登錄過的用戶，能自動判斷當前用戶是否登錄過，從而完成單點登錄的功能。其中統一的身份認證系統最重要，認證系統的主要功能是將用戶的登錄信息和用戶信息庫相比較，對用戶進行登錄認證；認證成功後，認證系統應該生成統一的認證標志（ticket），返還給用戶。另外，認證系統還應該對ticket進行效驗，判斷其有效性。整個系統可以存在兩個以上的認證伺服器，這些伺服器甚至可以是不同的產品。認證伺服器之間要通過標準的通訊協議，互相交換認證信息，就能完成更高級別的單點登錄。

3. rtk連接cors站一直單點什麼原因

1 SIM卡欠費
2 參數設置有問題，IP,埠，接入點，賬號密碼，有的必須用CORS提供的手機卡才能連
3 伺服器故障
一般先確認自己這邊，確認完了可以給CORS站負責人打電話，讓他幫忙看看伺服器有沒有你的機器，如果有 但是你不固定，是周圍環境遮擋，衛星數不夠，拆宴運軍區之類的信號屏蔽，或者設備自身設備天線等問題。。。
如果沒有旅梁，就是網路鏈接，參數設置，SIM卡之類的問題。
伺服器故障。。。就只能等祥則著了，機器多的可以自己架自由站，留好參考點 回頭CORS站恢復了再重新糾正。。。

4. 什麼是ac單點故障

AC腳本晌沖方式單點登錄出現故障。
從網賀指絡的可靠性看，集中轉發存在AC的單點故障，這也是用戶有顧慮的一個方面，一旦無線AC出現宕機或者單點故障，其下宴拍殲管理的無線AP面臨無法工作的風險。
AC單點登錄，公司內部有自用的認證伺服器，用戶在認證伺服器上認證成功後，AC/SG設備通過讀取該伺服器的用戶認證信息，實現用戶不需要重復認證。

5. 談談單點登錄

寒假學習的小課題，把之前的筆記整理整理記錄一下（長文警告）因為當時看到的東西涉及很多，所以有一些地方沒有深入去探討。

網路：單點登錄（Single Sign On），簡稱為 SSO，是目前比較流行的企業業務整合的解決方案之一。SSO的定義是在多個應用系統中，用戶只需要登錄一次就可以訪問所有相互信任的應用系統。
簡而言之就是用戶在多個相互信任的應用系統中，只需要登錄一次，就可以訪問其他相互信任的應用系統。這里的關鍵是一次登錄，以及一次退出，都對所有的系統生效。

在普通的登錄中，比如典型的B/S情景，瀏覽器訪問伺服器，發送登錄請求，在發送完用戶名和密碼之後，伺服器會生成該用戶的session來標准該用戶的狀態，比如已登錄還是已注銷，並給一個cookie給瀏覽器，因此，用戶繼續訪問就會帶上這個cookies，服務端會根據這個Cookie找到對應的session，通過session來判斷這個用戶的登錄狀態。比如php中使用phpsessid。當然也可以自定義session的生命周期，session的生命周期過長的話一旦session被盜用就會出現用戶被竊取的情況。同時，生命周期過長的session配置會佔用較多的伺服器資源。

單點登錄主要針對同平台下多應用，多系統的情景下多次登錄的一種解決方案。單點登錄相當於將多個應用的認證體系聯通。
假設現在一個平台上有3個都帶有登錄功能的應用，由上面的普通登錄的情況可以想到，這3台伺服器都會自己的記錄session。那麼要想達到單點登錄，一個最簡單的方法就出現了：共享session。

共享session的方式來實現單點登錄是最方便也是最直接的。在三個子系統中，使用同一個額外的記錄session的伺服器，比如我們可以使用一個redis伺服器來存儲三個系統的session。

用戶登錄了應用1，獲取了應用1返回的cookies，再次訪問應用1的其他功能的候攜帶了cookie就是已登錄的狀態了，但是這樣又有新的問題，雖然實現了共享session，但是用戶登錄了應用1，獲取了應用1返回的cookie，但是因為cookie是無法跨域的，因此用戶無法使用應用1的cookie去訪問應用2。這里我們就需要將系統的全局cookie domain的屬性設置為頂級域名，比如應用1的域名是1.test.com，應用2的域名是2.test.com。在普通登錄的情況下，應用1的cookie domain的屬性是1.test.com，指這個cookie只能在該子域名上被使用。我們將系統的全局cookie domain設置為頂級域名，即.test.com，這樣就可以實現用戶登錄了應用1，之後可以以已登錄狀態訪問應用2和3。
上面的共享session的情況是三個應用都有登錄功能，還有一種類似的情況是應用1和應用2都有登錄模塊和其他模塊，還有一個單獨的SSO系統，是僅有登錄模塊的：

共享session的方法雖然簡單，但是存在局限性，因為使用了cookie頂域的特性，所以不能做到跨域。一個公司或者一個平台很可能不是所有的域名都在在一個一級域名之下的，所以同域名下的單點登錄並不是完整的單點登錄。

先說說openid，openid是一種認證標准，規定如何認證的標准！即其關注的是登錄時身份的認證。官方給出的一個場景，其中一方是一個openid身份伺服器，用來存放注冊好的openid賬號，另一方是受這個openid身份伺服器信賴的服務或應用。openid協議就是提供openid身份伺服器和被信賴的服務或應用之間的通信的。比如我們在很多網站上可以使用QQ登錄，這里的騰訊的QQ就是openid的身份伺服器，我們所要登錄的網站就是受信賴的服務或應用。
在使用openid實現單點登錄的方法有很多，可以使用上面共享session的方法，即把openid帶在cookie裡面，但是這樣也會出現一樣的cookie跨域的問題。
在實際場景中，我們在訪問提供服務的應用時檢測到未登錄就會直接跳轉到openid身份伺服器，或者沒有重定向而是在登錄表單附近點擊選擇使用第三方openid登錄，進行賬號密碼登錄（這可以保證我們所登錄的伺服器無法獲取我們的敏感身份認證信息），具體流程如下：

CAS全稱為Central Authentication Service即中央認證服務，是一個企業多語言單點登錄的解決方案，並努力去成為一個身份驗證和授權需求的綜合平台。CAS就是一個現成的單點登錄的demo，企業只需要簡單修改就可使用。
CAS支持各種協議，SAML，OAuth，OpenID，OIDC等等，支持LDAP，Radius，JWTX，509等等進行身份認證和授權，還有各種常用語言的客戶端，Java，PHP，C# 等等。反正就是一個十分完整的，兼容性特別好的SSO框架。
簡單了解CAS是如何實現單點登錄的。在官網上可以看到其給出的一個 流程圖 ，。這個圖說的特別詳細，一下就能看懂，直接原圖上進行標注查看：

學習了上面幾種單點登錄的知識，結合實際場景可知，跨域單點登錄才是真正的單點登錄，因為實際情況下很多平台或者域名不可能都在一個一級域名下。在解決跨域單點登錄的問題的時候，上面也給說了幾種方式，但是究其根本，就是利用一個SSO認證中心來實現認證與授權的。當然，也會有其他的解決跨域單點登錄的方案，但是大體流程都與cas類似。

比如在上圖的11步驟，也可使用POST包，或者JSONP和iframe方法來跨域發送請求進行重定向。
在利用認證中心來實現單點登錄是現在比較普遍的解決方案，那麼有沒有不需要使用認證中心來解決跨域單點登錄的方案呢？
利用JSONP同步登錄狀態，大概流程流程如下：

在學習單點登錄的過程中，在其中認證的過程中授權令牌的傳遞等相關信息沒有特別詳細的說明，而且在思考單點登錄的時候也會有想過一個比較矛盾的問題：單點登錄的目標是為了讓用戶可以在相互信任的系統中一次登錄即可，但是如果真的是做到所有用戶都可以訪問所有系統，豈不是會帶來越權的問題，是否需要對不同的用戶以不同的授權，甚至限制訪問的應用，但是這樣是不是就不是原本狹義的單點認證？

在說單點登錄的認證和授權之前，先談一談我一直想弄清楚的統一身份認證和單點登錄的區別。說起單點登錄可能很少聽過，但是統一身份認證肯定不陌生，不管是企業還是高校都會有這種統一身份認證的系統。
統一身份認證最重要的一方面就是身份認證，另一方面就是和身份認證相關的授權控制，許可權控制。而單點登錄是多應用一次登錄，也可以叫統一登錄，可以理解為主要在認證方面。對於統一身份認證來說會有賬號管理，如LDAP，認證管理OAuth，SMAL等，因此我覺得，統一身份認證一般是包括狹義的單點登錄，狹義的單點登錄，即只需要滿足多應用一次登錄即可。但是現在的單點登錄，SSO系統並不僅僅是要求這些，他的范圍正在慢慢擴大。

單點登錄的認證和授權，前面說到的CAS實現單點登錄里就會看到需要ticket來進行認證，授權。CAS支持多種認證方案，比如OAuth，OpenID，SAML等等，我們可以來比較比較用這些協議的區別，或者說是在哪些場景下使用哪些認證方案較為合適。本身單點登錄是沒有許可權控制的功能的，但是因為這些認證協議的需求，自然支持了許可權控制。
在使用SAML進行認證的過程中，可以看到下圖，其是基本流程都差不多，這里需要注意的就是在用戶在認證中心成功登陸之後，重定向的時候返回的是一個SAML token，一個XML節點，這里的token會包括用戶的身份信息，用戶名等。

在OAuth2.0的標准中流程是和上面的基本相同，但是OAuth2因為客戶端並沒有一點是瀏覽器，所以token中默認是沒有簽名的。這里可能沒有體現出來，OAuth2的目標是授權，所以token更關注的是許可權，token在向認證伺服器驗證的時候就會有不同的授權，但是既然是授權，就間接實現了認證。

在傳統的認證中都是基於session機制的，具體的session模式上面也說了，根據其特性可知session的一些確定：

https://www.mutuallyhuman.com/blog/choosing-an-sso-strategy-saml-vs-oauth2/
https://yq.aliyun.com/articles/636281
https://juejin.im/post/5d0dbb7e6fb9a07f0420512d

6. 單點登錄解決什麼問題以及方案

單點登錄，例如你在這台機器上登錄了，伺服器保留你一個活躍的會話，然後你又在未注銷的前提下到另一台機器上登錄，如果沒有單點登錄，伺服器默認這兩個會話都是有效的。那麼這樣安全性會受到影響，例如密碼丟失，資源沖突之類。單點登錄就是會話的統一管理，你用這個用戶名和密碼登錄後產生的這個會話，在另一次登錄如果用戶名和密碼（或者其他標志位）相同，則結束當前會話，始終維持你的唯一的一個會話。

7. sso單點登錄原理

sso單點登錄原理是當用戶在身份認證伺服器上登錄一次以後，即可獲得訪問單點登錄系統中其他關聯系統和應用軟體的許可權，同時這種實現是不需要管理員對用戶的登錄狀態或其他信息進行修改。

單點登錄系統基於一種安全的通信協議，該協議通過多個系統之間的用戶身份信息的交換來實現單點登錄。

使用單點登錄系統時，用戶只需要登錄一次，就可以訪問多個系統，不需要記憶多個口令密碼。單點登錄使用戶可以快速訪問網路，從而提高工作效率，同時也能幫助提高系統的安全性。

(7)伺服器單點是怎麼回事擴展閱讀

要實現SSO的功能，讓用戶只登錄一次，就必須讓應用系統能夠識別已經登錄過的用戶。應用系統應該能對ticket進行識別和提取，通過與認證系統的通訊，能自動判斷當前用戶是否登錄過，從而完成單點登錄的功能。

另外：

1、單一的用戶信息資料庫並不是必須的，有許多系統不能將所有的用戶信息都集中存儲，應該允許用戶信息放置在不同的存儲中，事實上，只要統一認證系統，統一ticket的產生和校驗，無論用戶信息存儲在什麼地方，都能實現單點登錄。

2、統一的認證系統並不是說只有單個的認證伺服器

當用戶在訪問應用系統1時，由第一個認證伺服器進行認證後，得到由此伺服器產生的ticket。當他訪問應用系統2的時候，認證伺服器2能夠識別此ticket是由第一個伺服器產生的，通過認證伺服器之間標準的通訊協議（例如SAML）來交換認證信息，仍然能夠完成SSO的功能。

8. 如何解決二層單點故障

伺服器高可用、存儲雙活的架構並不能解決數據的邏輯錯誤、失效、丟失等問題，傳統的備份、恢復解決方案雖然可以數據得到很好的保護，但是發生故障時所造成的數據丟失量較大（RPO=24小時），在本次方案設計中，我們建議採用systemcenter對碰鉛數據進行持續性備份保護，提供數據有效性驗證、數據錯誤恢復以及業務應急接管等功能。主要硬體配置清單產品描述數量虛擬化伺服器Lenovosystem 3850X6，4顆intelE7-4800V3系列CPU，512G 內存，配置萬兆網卡虛擬化存儲LenovoV3700，8G 緩存，採用萬兆主機介面，採用存儲底層鏡像功能保證存儲的數據安全虛擬化資源池網路可堆疊萬兆交換機及可堆疊千兆交換機為什麼要選用ISCSI存儲連接方式而不是FC呢。首先從成本上和今後橫向擴充來講，ISCSI無疑是最佳選擇，整個IDC環境都工作在大二層的網路，大二層網路是針對當前最火熱的虛擬化數據中心的虛擬余模機動態遷移這一特定需求而提出的概念，對於其他類型的網路並無笑毀好特殊的價值和意義。網路設備虛擬化是將相互冗餘的兩台或多台物理網路設備組合在一起，虛擬化成一台邏輯網路設備，在整個網路中只呈現為一個節點。網路設備虛擬化再配合鏈路聚合技術，就可以把原來網路的多節點、多鏈路的結構變成邏輯上單節點、單鏈路的結構，解決了二層網路中的環路問題。沒有了環路問題，就不需要xSTP，二層網路就可以范圍無限（只要虛擬網路設備的接入能力允許），從而實現大二層網路。

9. 單點登錄，多點登錄的原理

一、簡單例子
在講單點登錄之前，我們講一些客戶端是如何跟伺服器交互的。舉微信為例子，我們手機登錄了微信，此時伺服器就會返回一把鑰匙（token）給APP，這把鑰匙就是證明我是誰？例如我是Candy，每次都拿這把鑰匙去請求伺服器，帆侍唯例如獲取Candy的朋友圈數據，Candy的微信好友列表等，當我們退出登錄的時候，我們會告訴微信說鑰匙過期啦。

好，這里我們要記住，登錄微信，獲取微信給我們的鑰匙，用鑰匙去拿對應數據。當我們退出微信的時候，我們會告訴微信說鑰匙

二、概念講解
進入主題，單點登錄SSO，英文是Single Sign On。那什麼是單點登錄呢？
你有兩個手機，一個登陸了微信，另一個只要點擊登錄微信，前一個手機就會推出微信，這個就是單點登錄。
那多點登錄呢？你想想你的iPad，或者是電腦，是不是都可以同時登陸微信？這個就是多點登錄，
那他的原態培理是什麼？還是那把鑰匙，只是微信給了他們iPad跟手機一把強關聯的鑰匙，手機也好，iPad也好，都可以用這把鑰匙，拿到他們對應的數據。

三、思維拓展
例子：為什麼說是強關聯呢？還是舉微信手機的例子，
1、從主次來講，我們先區分手機，電腦，iPad的鑰匙主次，當電腦登錄微信的時候，手機能否把電腦的微信退出？答案是可以。我們手機可以控制電腦的微信鎖定，甚至是退出。這里的鑰匙主次是以手機為主，但這不是唯一的答案，這是產品設計的，只要產品願意，程序員也是可以把電腦的主權上升的，電腦也可以讓手機退出，關鍵在於電腦登錄微信是通過手機掃碼的，所以手機的鑰匙肯定是占據主動的，這樣比較符合產品設計。
2、還是剛剛那樣的例子，手機A已經登錄了微信，甚至也登錄了電腦微信，此時手機B登錄微信，會怎麼樣？手機A會退出微信，同時手機A登錄的電腦微信也會退出。為什麼？這就是那談蔽把鑰匙被退出的原因。

總結一下這節課，這節課最重要的概念是，手機登錄，伺服器給鑰匙，這把鑰匙就是證明你是誰，每次訪問伺服器，都會根據這把鑰匙是誰，而給出對應的數據，如candy的朋友圈，candy的好友列表等。

四、程序優化，架構優化。
關於架構優化的知識點。
舉個例子，某電商公司A收購了物流公司B，我們用戶在電商APP登錄的時候，需要先登錄電商系統A，獲得了電商鑰匙A，然後用電商鑰匙A，去物流系統B拿物流鑰匙B，這一步用了兩個步驟，那當出現系統3，系統4的時候，我們的步驟會非常的多，所以我們可以在多個服務中建立SSO系統（單點登錄系統），所有系統，電商系統A，物流系統B，房地產系統C…全都去那裡登錄，統一一把鑰匙訪問所有功能系統。

10. 單點登錄是什麼意思

單點登錄（Single Sign On），簡稱為 SSO，是目前比較流行的企業業務整合的解決方案之一。

單點登錄就是在一個多系統共存的環境下，用戶在一處登錄後，就不用在其他系統中登錄，也就是用戶的一次登錄能得到其他所有系統的信任。

單點登錄在大型網站里使用得非常頻繁，例如像阿里巴巴這樣的網站，在網站的背後胡敬中是成百上千的子系統，用戶一次操作或交易可能涉及到幾十個子系統的協作，如果每個子系統都需要用戶認證，不僅用戶會厭煩，各子系統也會為這種重復認證授權的邏輯而崩潰。

(10)伺服器單點是怎麼回事擴展閱讀：

實現單點登錄需要具備的條件：

1、所有應用系統共享一個身份認證系統：

統一的認證系統是SSO的前提之一。認證系統的主要功能是將用戶的登錄信息和用戶信息庫相比較，對用戶進行登錄認證；認證成功後，認證系統應該生成統一的認證標志（ticket），返還給用戶。另外，認證系統還應該對ticket進行效驗，判斷其有效性。

2、所有應用系統能夠識別和提取ticket信息：

要實現SSO的功能，讓用戶只稿團登錄一次，就必須讓應用系統能夠識別已經登錄過的用戶。應用系統應該能對ticket進行識別和提取，通過與認證系統的通訊，能自動判斷當前用戶是否登錄過，從而完成單點登錄的功能。

參考資料來源：網路褲山-單點登錄