SSO单点登录简介
现在的开发已经发展到了集群阶段,那么一旦到了集群的设计阶段,出现最明显的问题:以用户登录为例,所有的web服务器上都需要有用户登录的操作。
在整个系统设计的过程之中,现在需要有一个专门的登录服务器(单独的域名)进行整体的登录控制,而后所有的子服务器要根据单点登录的状态进行所谓的会话检测。 但是现在在整个的用户的认证与授权管理之中,单点登录只能够做认证处理,不能够做授权处理,也就是说如果在实际的开发之中,单点登录后面一般会有一个用户的数据库。
https配置与启用
为了得到更加安全的用户访问,以及为了让你的搜索引擎排名更高,几乎所有的互联网公司都转到了https
上。现在的状态是属于http与https共存的状态(小的公司不可能花钱去使用https)。
超文本传输协议(HTTP,HyperText Transfer Protocol
)是是一种详细规定了浏览器和万维网服务器之间互相通信的规则,通过因特网传送万维网文档的数据传送协议。
HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer
),是以安全为目标的HTTP
通道,简单讲是HTTP
的安全版。即HTTP
下加入SSL
层,HTTPS
的安全基础是SSL
,因此加密的详细内容就需要SSL
。 它是一个URI scheme
(抽象标识符体系),句法类同http:
体系。
HTTPS和HTTP的区别
超文本传输安全协议(HTTPS
,也被称为HTTP over TLS
,HTTP over SSL
或HTTP Secure
)是一种网络安全传输协议。
- SSL:(Secure Socket Layer)
安全套接字层。位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证,使用数字签名确保完整性,使用加密确保私密性,以实现客户端和服务器之间的通讯安全。该协议由两层组成:SSL记录协议和SSL握手协议。核心是加密算法,数字整数,CA。
- TLS:(Transport Layer Security)
传输层安全协议。用于两个应用程序之间提供保密性和数据完整性。该协议由两层组成:TLS
记录协议和TLS
握手协议。TLS
是SSL
的增强版。
HTTPS
开发的主要目的是提供对网络服务器的认证,保证交换信息的机密想和完整性。
为了解决HTTP
协议的这一缺陷,需要使用另一种协议:安全套接字层超文本传输协议HTTPS
。为了数据传输的安全,HTTPS
在HTTP
的基础上加入了SSL
协议,SSL
依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。
HTTPS和HTTP的区别主要为以下四点:
https
协议需要到ca申请证书,一般免费证书很少,需要交费。http
是超文本传输协议,信息是明文传输,https
则是具有安全性的ssl加密传输协议。http
和https
使用的是完全不同的连接方式,用的端口也不一样,前者是80
,后者是443
。http
的连接很简单,是无状态的;HTTPS
协议是由SSL+HTTP
协议构建的可进行加密传输、身份认证的网络协议,比http
协议安全。
HTTPS
是一种安全的访问,https
需要缴费获得CA
证书(公网证书),而https
的证书是需要收费的。
使用OpenSSL签发证书
如果现在哦我们要使用https
访问,那么一定需要有一个CA
机构进行证书的签发,但是这样的证书你需要花费银子的,而且也需要有一个真实的域名存在,我们对于模拟环境就可以自己来进行处理。
1.生成CA根证书:mkdir -p /srv/ftp/ssocas
openssl genrsa -out /srv/ftp/ssocas/cakey.pem 2048 RSA
openssl req -new -key /srv/ftp/ssocas/cakey.pem -out /srv/ftp/ssocas/cacert.csr -subj /CN=ssocas.com
openssl x509 -req -days 3650 -sha1 -extensions v3_ca -signkey /srv/ftp/ssocas/cakey.pem -in /srv/ftp/ssocas/cacert.csr -out /srv/ftp/ssocas/ca.cer
2.生成服务器端证书:mkdir -p /srv/ftp/ssocas/server
openssl genrsa -aes256 -out /srv/ftp/ssocas/server/server-key.pem 2048
openssl req -new -key /srv/ftp/ssocas/server/server-key.pem -out /srv/ftp/ssocas/server/server.csr -subj /CN=ssocas.com
openssl x509