返回
SSO(单点登录) in Action

SSO(单点登录) in Action

ID:37898302

大小:633.00 KB

页数:14页

时间:2019-06-02

SSO(单点登录) in Action_第1页
SSO(单点登录) in Action_第2页
SSO(单点登录) in Action_第3页
SSO(单点登录) in Action_第4页
SSO(单点登录) in Action_第5页
资源描述:

《SSO(单点登录) in Action》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、SSO(SingleSign-on)inAction1.SSO原理浅谈SSO是一个非常大的主题,我对这个主题有着深深的感受,自从广州UserGroup的论坛成立以来,无数网友都在尝试使用开源的CAS,Kerberos也提供另外一种方式的SSO,即基于Windows域的SSO,还有就是从2005年开始一直兴旺不衰的SAML。如果将这些免费的SSO解决方案与商业的Tivoli或Siteminder或RSASecureSSO产品做对比,差距是存在的。毕竟,商业产品的安全性和用户体验都是无与伦比的,我们现在提到的SSO,仅仅是WebSSO,即Web-SSO是体现在客户端;另外一种SSO是桌面SSO

2、,例如,只需要作为Administrator登录一次windows2000,我便能够在使用MSN/QQ的时候免去登录的环节(注意,这不是用客户端软件的密码记忆功能),是一种代理用户输入密码的功能。因此,桌面SSO是体现在OS级别上。今天,当我们提起SSO的时候,我们通常是指WebSSO,它的主要特点是,SSO应用之间走Web协议(如HTTP/SSL),并且SSO都只有一个登录入口。简单的SSO的体系中,会有下面三种角色:1、User(多个)2、Web应用(多个)3、SSO认证中心(1个)虽然SSO实现模式千奇百怪,但万变不离其宗:Web应用不处理User的登录,否则就是多点登陆了,所有的登

3、录都在SSO认证中心进行。SSO认证中心通过一些方法来告诉Web应用当前访问用户究竟是不是张三/李四。SSO认证中心和所有的Web应用建立一种信任关系,SSO认证中心对用户身份正确性的判断会通过某种方法告之Web应用,而且判断结果必须被Web应用信任。2.CAS的基本原理CAS(CentralAuthenticationService)是Yale大学发起的一个开源项目,据统计,大概每10个采用开源构建WebSSO的Java项目,就有8个使用CAS。对这些统计,我虽然不以为然,但有一点可以肯定的是,CAS是我认为最简单实效,而且足够安全的SSO选择。本节主要分析CAS的安全性,以及为什么CA

4、S被这样设计,带着少许密码学的基础知识,我希望有助于读者对CAS的协议有更深层次的理解。2.1CAS的结构体系从结构体系看,CAS包含两部分:CASServerCASServer负责完成对用户的认证工作,CASServer需要独立部署,有不止一种CASServer的实现,YaleCASServer和ESUPCASServer都是很不错的选择。14CASServer会处理用户名/密码等凭证(Credentials),它可能会到数据库检索一条用户帐号信息,也可能在XML文件中检索用户密码,对这种方式,CAS均提供一种灵活但同一的接口/实现分离的方式,CAS究竟是用何种认证方式,跟CAS协议是分

5、离的,也就是,这个认证的实现细节可以自己定制和扩展。CASClientCASClient负责部署在客户端(注意,我是指Web应用),原则上,CASClient的部署意味着,当有对本地Web应用的受保护资源的访问请求,并且需要对请求方进行身份认证,Web应用不再接受任何的用户名密码等类似的Credentials,而是重定向到CASServer进行认证。目前,CASClient支持(某些在完善中)非常多的客户端,包括Java、.Net、ISAPI、Php、Perl、uPortal、Acegi、Ruby、VBScript等客户端,几乎可以这样说,CAS协议能够适合任何语言编写的客户端应用。2.2

6、CAS协议剖析协议就像剖析设计模式,有些时候,协议让人摸不着头脑。CAS的代理模式要相对复杂一些,它引入了一些新的概念,我希望能够在这里描述一下其原理,有助于读者在配置和调试CASSSO有更清晰的思路。如果没记错,CAS协议应该是由DrewMazurek负责可开发的,从CASv1到现在的CASv3,整个协议的基础思想都是基于Kerberos的票据方式。CASv1非常原始,传送一个用户名居然是”yesdavid.turing”的方式,CASv2开始使用了XML规范,大大增强了可扩展性,CASv3开始使用AOP技术,让Spring爱好者可以轻松配置CASServer到现有的应用环境中。CA

7、S是通过TGT(TicketGrantingTicket)来获取ST(ServiceTicket),通过ST来访问服务,而CAS也有对应TGT,ST的实体,而且他们在保护TGT的方法上虽然有所区别,但是,最终都可以实现这样一个目的——免去多次登录的麻烦。下面,我们看看CAS的基本协议框架:2.1.1基础协议14CAS基础模式上图是一个最基础的CAS协议,CASClient以Filter方式保护Web应用的受保护资源,过滤

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。