[转]LoongSSO 大中型WEB系统单点登陆(SSO)整合利器

最新推荐文章于 2013-02-20 16:30:00 发布
最新推荐文章于 2013-02-20 16:30:00 发布
阅读量4.6k 收藏 3
点赞数
分类专栏: Architecture/Distributed/High Performance 文章标签: sso web session server 浏览器 yahoo

作者:七夜
来源:http://blog.chinaunix.net/space.php?uid=1760882&do=blog&id=93117

 

我们都知道网易、搜狐等大型门户都有“通行证”的概念,这个通行证系统就是今天讨论的“单点登录系统”。其主要特征是多个站点一个用户中心,一点登陆后其他也自动登录,注销也是。比如我们在126登录了邮箱,再去163.com就是登陆状态。就好比要建一个摩天大楼,打好地基是重点之重.看到SSO的重要性了吧.

下面我简单介绍一下国际一些名气比较大的SSO解决方案:

. SAML

SAML,鸟语全名为Security Assertion Markup Language,他是由SUNBEAIBMRSAAOLBoeing等大公司,制定技术规范相当专业有水准,系统分层合理,抽象了几个概念把整个系统描述得很清楚,使用流行技术XML Schema来描述协议,使用到了XML-SignXML Encrypt等较为前缘XML安全技术. 一看就会让你感觉望而生畏。用个形象性的比喻,SAML协议跟java一样,把每个层都分的很细.跟裹脚布一样.所以SAML技术在java领域用的比较多,在非java领域比较稀少了.sun open sso就是开源的SAML一种实现. 要想把opensso 搞定,那得要深厚的功力.自个修炼去吧

 

. OpenID

OpenID实际上不属于SSO, 只是一种身份的认证而已。OpenIDNB,拥有众多大腕粉丝, 例如GOOGLEYAHOOFacebook,希望别人的系统使用它们的帐号登陆。他们希望一种足够简单的WEB SSO规范,于是选择一种草根网络协议OpenIDOpenID,名字取得好,顾名思义,一看就知道它是干嘛的。国内也有它的Fans,例如豆瓣网。openID的确足够简单,但是协议本身是不完善,可能需要一些补充协议才能够满足业务需求。例如GOOGLE采用OpenID + OAuth。目前支持OpenIDYahooGoogleWindows Live,还有号称要支持OpenIDFacebook。目前YahooGoogle宣称对OpenID的支持,但是其实是有限制的,YahooOpenID只有少数合作伙伴才能获得其属性,Google也只有在其Google Apps中才能获得账号的Attribute。用户账号毕竟是一个互联网公司的最宝贵资源,希望他们完全分享账号是不可能的。OpenId 作为一个所谓的“开源项目”,仿佛是人人都在为他服务,但是又好象人人都不给他服务。没有一个机构能够真正的去帮助别人熟悉和使用他

. Oauth

OAUTHOpenID差不多实际不属于SSO范围.是用户身份权限制认证。OAuth是由Blaine CookChris MessinaLarry Halff David Recordon共同发起的,目的在于为API访问授权提供一个开放的标准。OAuth规范的1.0版于2007124日发布。目前在微博上应用比较多.

oAuth的典型应用场景(senario

以前,用户在 拥有资源 的的网站A有一大堆东西;现在用户发现了一个新的网站B,比较好玩,但是这个新的网站B想调用 拥有资源的网站A的数据。

 

用户在 求资源的网站B 上,点击一个URL,跳转到 拥有 资源的网站A

拥有资源的网站A提示:你需要把资源分享给B网站吗?Yes/No

用户点击 Yes,拥有资源的网站A 求资源的网站B 临时/永久 开一个通道,然后 求资源的网站 就可以来 拥有资源的网站 抓取所需的信息了。

oAuth更像是一种资源更像是一种网站资源的共享,而并不是用户数据的共享和一站登陆全站都登陆的机制.

.CAS

CAS(Central Authentication Service) Yale 大学发起的一个开源项目,据统计,大概每 10 个采用开源构建 Web SSO Java 项目,就有 8 个使用 CAS Casjava应用最广泛的开源单点登陆实现了。

 

 

国内的一些门户网站包括吃都是基于cookie SSO方案。浏览器直接请求SSO server进行身份验证,验证成功返回一段回调的JS代码。然后浏览器用js src逐个隐式的去访问sso client , sso clientP3P技术,把各个域名的cookie种在用户浏览器,这样就实现了整个SSO过程

   这种方式显而易见就是非常简单,比刚才介绍的任何一款SSO开源项目都简单方便. 但是这种方式的缺点,本人认为主要是两点:1. 子站点过多时,回调接口相应增多,这个在分布子站的量的限制上,如何控制来使登录效率不会太低,不好把握; 2. 当某个子站回调接口出现问题时,默认的登录过程会卡住(可以限制登录程序的执行时间,但相应出现问题子站后面的子站的回调接口就调不到了。

以下是大致的流程图

 

 

LoongSSO2008年就开始发布的一款整体SSO开源解决方案。项目包括sso server(单点登陆)session pool server.

Loongsso开源网站 http://www.loongsso.com


使用文档: http://www.loongsso.com/doc.html
论坛讨论: http://www.loongsso.com/bbs/

loongsso 作者 七夜(李锦星)
mail lijinxing@gmail.com
QQ 531020471
MSN lijinxing20@hotmail.com

LoongSSO2.1 下载地址
http://code.google.com/p/loongsso/downloads/detail?name=loongsso2.1.tar.bz2&can=2&q=

loongsso for Discuz api 下载地址
http://code.google.com/p/loongsso/downloads/detail?name=Discuz7.2.tar.bz2&can=2&q=

loongsso2.1 for phpwind API 下载地址
http://code.google.com/p/loongsso/downloads/detail?name=phpwind8.3.tar.bz2&can=2&q=


Loongsso server 大致介绍

 

 

1. 采用C开发,能稳定高效的运行在linux、freebsd等类*NIX系统下
2. 使用master-worker多进程工作模型再配合epoll、kqueue事件触发机制
3. 采用MySQL作为用户数据库,通过Handler Socket来进行读写mysql,既保证了用户数据的安全稳定,又提高了读写数据的效率
4. 采用简单易配置的xml配置文件
5. 使用HTTP协议交互,MD5数字签名,保证数据交互的方便性、安全性、高效性
6. 有保留关键注册名的功能
7. 对SSO client的编辑删除的权限控制

session pool server 大致介绍

1. 采用C开发,能稳定高效的运行在linux、freebsd等类*NIX系统下
2. 使用线程池工作模型再配合epoll、kqueue事件触发机制
3. 持久session保存数据,内部采用高效的hashtable来存储session数据
4. 采用haproxy作为入口网关,使用haproxy的一致性hash工作模式把请求分发给集群中的session server

loongSSO分为两种SSO工作模式
1. JS回调机制.Javascript回调各个SSO client,然后利用P3P协议种各自的cookie
2. 统一cookie机制.就是session id统一种植在SSO server所运行的域名cookie下.各个SSO client需要session id。都通过loongsso去查询


 

总结

第一种模式的优点和缺点上文已经大概的介绍过了,个人觉的缺点大于利,无法在几十个或者几百个域名下实现单点登陆。

    第二种模式,用户登录后是不用把用户登录的信息逐个通知给各个SSO client。当用户访问哪个SSO client,那个SSO client就会去loongsso server去读取。这样就保证了资源最大化的利用,就算成千上万个sso client都不成问题。当然loongsso server是可以分布式的运行的来支持更多的请求

 

DEMO 站点

http://sso2.weigame.com/             Discuz 论坛

http://sso3.dlapk.com/index.php?m=bbs  phpwind论坛

测试用户名: demo123 密码: 123456

在任何一端登陆,到另一个网站就无须登陆

 

 

 

 1. 用户浏览器请求www.aaa.com的login.html
2. Web server返回 login.html
3. 用户直接把表单POST到SSO server
4. SSO server根据用户名去mysql的用户库去验证
5. 数据库验证成功,生成session id,把session数据写到session pool server
6. Sso server 把session id种在sso server本域名下cookie
7. 用户访问www.bbb.com
8. www.bbb.com返回页面给用户浏览器.用户浏览器请求SSO server查询session id
9. SSO server返回session id给用户浏览器.
10. www.aaa.com用session id去session pool server查询session 用户数据
11. 根据session用户数据,生成www.aaa.com的cookie

黑夜路人
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Loong SSO(单点登录)开源代码正式发布 rc1.0
03-19
Loong SSO(单点登录)开源代码正式发布 rc1.0 Loong SSO是一款用C 写的 SSO服务端,可以运行在 linux(2.6内核) 和 FreeBSD系统上,使用HTTP协议 进行交互. 这款SSO产品,在运行机制上 吸取了国内门户的 passport一些优点. 大家先帮忙测试一下,如果大家有好的功能建议也可以和我说,我会加到loong SSO里。 过几天 我会把这款产品 开源出来。 让大家自由使用 Loong SSO具有以下特点: 1. 支持数据库 用户表 分表数据存储 2. Loong SSO支持 客户端 跨服务器、跨域名、跨应用、跨开发语言 3. SSO客户端调用, 支持各种 能用于WEB开发的 语言(比如 perl、PHP、Ruby、Python、Java)等等语言 4. SSO客户端开发简单,修改量非常小。 只要修改login和logout 代码就行了。各个应用的 session还是各自独立的. 5. Loong SSO服务端自带高速数据缓存。用户验证、登陆的时候,数据直接从高速缓存中读取。降低数据库的查询压力 6. Loong SSO传输 使用MD5数字签名、超时机制。来保证传输数据的安全性和有效性
关于http接口防止非法调用的设计方案
web开发
02-07 740
关于http接口防止非法调用的设计方案 假设有个http接口: 如 http://www.a.com/getBlog.jsp?uid=12 其他系统要调用这个接口取数据: 如果不做安全处理,任何系统只要知道接口地址和参数即可调用。很可能造成非法调用,造成安全问题。 。 为了安全,可以考虑如下方案: 接口调用时增加一个校验参数:如 mcheck=xxxxxx http://w...
w3c.dom组件xml解析实例
动感超人的专栏
06-12 1396
w3c.dom组件xml解析实例 package com.yanek.demo.xml.test;import java.io.FileInputStream;import java.io.IOException;import java.util.HashMap;import java.util.Map;import org.w3c.dom.Document;import org.
单态设计模式
web开发
07-14 215
package com.yanek.test; public interface UserManager { public abstract void addUser(); } package com.yanek.test; public class UserManagerImpl implements UserManager { public void addUser() { Sys...
设为首页代码(html源码)
web开发
02-17 1632
<astyle="cursor:hand"onclick="this.style.behavior=’url(#default#homepage)’; this.setHomePage(’http://elouai.com/bookmark-favorites.php’);"> <imgwidth=16height=16border=0src="images/house.png"...
SpringBoot整合SSO(single sign on)单点登录
08-19
主要介绍了SpringBoot整合SSO(single sign on)单点登录,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
golang实现单点登录系统(go-sso
01-19
这是一个基于Go语言开发的单点登录系统,实现手机号注册、手机号+验证码登录、手机号+密码登录、账号登出等功能,用户认证采用cookie和jwt两种方式。收发短信相关方法已提供,仅需根据短信通道提供商提供的接口做...
php实现的SSO单点登录系统接入功能示例分析
01-21
简单讲一下 SSO 单点登录系统的接入的原理,前提是系统本身有完善的用户认证功能,即基本的用户登录功能,那做起来就很方便了。 SSO 登录请求接口往往是接口加上一个回调地址,访问这个地址会跳到回调地址并带上一...
baigo SSO单点登录系统 v1.1.5
12-05
baigo SSO 是一款基于 HTTP 协议的单点登录系统,baigo SSO 以简单为设计、开发的宗旨,安装部署简单、使用简单。baigo SSO 没有复杂的菜单,没有深奥的概念,没有晦涩难懂的名词,一切崇尚简单。 baigo SSO v1.1.5 ...
baigo SSO单点登录系统 v1.1.6
12-05
baigo SSO 是一款基于 HTTP 协议的单点登录系统,baigo SSO 以简单为设计、开发的宗旨,安装部署简单、使用简单。baigo SSO 没有复杂的菜单,没有深奥的概念,没有晦涩难懂的名词,一切崇尚简单。 baigo SSO v1.1.6 ...
baigo SSO单点登录系统 v2.0
12-02
baigo SSO 是一款基于 HTTP 协议的单点登录系统,baigo SSO 以简单为设计、开发的宗旨,安装部署简单、使用简单。baigo SSO 没有复杂的菜单,没有深奥的概念,没有晦涩难懂的名词,一切崇尚简单。 baigo SSO v2.0 ...
sso单点登录ppt.ppt
10-30
sso单点登录ppt.ppt
baigo SSO单点登录系统 v1.2
12-04
baigo SSO 是一款基于 HTTP 协议的单点登录系统,baigo SSO 以简单为设计、开发的宗旨,安装部署简单、使用简单。baigo SSO 没有复杂的菜单,没有深奥的概念,没有晦涩难懂的名词,一切崇尚简单。 baigo SSO v1.2 ...
golang 单点登录系统(go-sso)的实现
09-16
主要介绍了golang 单点登录系统(go-sso)的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
baigo SSO单点登录系统 v2.2
11-27
baigo SSO 是一款基于 HTTP 协议的单点登录系统,baigo SSO 以简单为设计、开发的宗旨,安装部署简单、使用简单。baigo SSO 没有复杂的菜单,没有深奥的概念,没有晦涩难懂的名词,一切崇
ITeye 2012年10月第2周重要新闻回顾
web开发
10-16 141
关注技术趋势,点评IT热点,ITeye资讯频道,助您把握IT技术的脉搏!每周一我们会为您带来上周重要新闻总结,如果您对ITeye的新闻总结有任何的意见或建议,请留言给我们或邮件联系:webmaster(at)iteye.com。 2012年10月第2周值得关注的重要新闻如下。 一、微软与Windows 8 随着Windows 8正式发布日期(10月25日)的临近,微软相继推出...
SimpleThreadPool
web开发
11-15 260
package com.util; import java.util.concurrent.BlockingQueue; import java.util.concurrent.LinkedBlockingQueue; import java.util.concurrent.ThreadPoolExecutor; import java.util.concurrent.TimeUnit; ...
POP3 SMTP 协议分析学习笔记
夏爵爷的脚步
05-26 9027
RELEASE INFORMATIONProject:           Email        Author :           Tao Xia/PIMVersion:           v1.0Date:              2008-10-13[Notes] 1.Any quotation or copy of this fi
Extjs登录(用到DB)
web开发
02-20 154
这是第一次用Extjs ,肯定很多漏洞,写给自己的,万一忘记了。。 演示-------------如下: [plain] view plaincopyprint? Extjs版本:3.3.0 1建表 useBarcode /*(此表為了測試自己添加) EL_User:表名 Id自動增長類型的主鍵 UserName用戶名 Password密碼 NickName昵稱 Leve...
rest sso 和_SSO企业单点登录系统——CAS REST认证方式
最新发布
05-19
REST SSO和CAS REST认证方式都是企业单点登录系统中的认证方式。 REST SSO是基于RESTful API的单点登录系统,具有轻量级、高效、可扩展等优点。它的原理是,用户在认证服务器上登录后,会得到一个加密的token,这个token会被存储在浏览器cookie中,当用户访问其他系统时,这个token会被发送给其他系统进行验证,从而实现单点登录。 CAS(Central Authentication Service)是一个开源的企业单点登录系统,支持多种认证方式,包括基于REST的认证方式。CAS REST认证方式是通过RESTful API实现单点登录的一种方式,与REST SSO类似。用户在认证服务器上登录后,会得到一个加密的token,这个token会被存储在浏览器cookie中,当用户访问其他系统时,这个token会被发送给其他系统进行验证,从而实现单点登录。 总的来说,REST SSO和CAS REST认证方式都是基于RESTful API的企业单点登录系统,实现方式类似,但是具体实现细节和使用场景还是有所区别的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值