ad域控统一身份认证

AD域控统一身份认证是一种解决组织内部多个应用系统使用不同的用户身份认证方式所带来的困扰的技术。通过AD域控的集中管理，用户只需使用一次登录即可访问所有相关系统，大大提升工作效率和用户体验。本篇文章将会从概念、原理和代码实现三个方面来详细地解析AD域控统一身份认证技术。

一、概念

AD域控统一身份认证，简称单点登录，是常见的企业应用系统的身份鉴别和访问控制机制。当用户登录系统时，只需输入一次用户名和密码，就可以在多个应用系统中访问他们所需要的资源，这样就可以有效地避免重复登录和处理各种密码忘记、session超时等问题，提高了用户访问系统的便捷性和安全性。

二、原理

AD域控是由Microsoft公司提供的一种目录服务，我们可以通过它来完成清晰的认证、授权和资源管理等功能，也可以通过它来实现单点登录的功能。具体实现原理如下：

1. 应用系统和AD域控之间的通信

应用系统和AD域控之间的通信是通过LDAP和Kerberos两种协议来进行的。LDAP协议主要用于查找和修改AD域控中的用户信息，而Kerberos协议则用于身份验证和授权。当用户成功登录系统后，应用系统会通过LDAP协议向AD域控查询用户信息，获取到用户的权限信息和组织机构信息。

2. 会话管理

用户在通过某个应用系统登录后，系统会生成一个加密后的会话标识符在浏览器端保存，用户再通过该系统访问其他页面时，会通过之前保存在浏览器中的会话标识符去认证用户身份。而在用户登出时，应用系统会收到浏览器发送的请求，销毁该会话标识符，并向其他已登录的应用系统发送通知，告知它们该用户已经登出