Web单点登录和客户/服务器单点登录

         单点登录(Single Sign-onSSO,),也称单一登录,通常指一个用户在使用多个应用时只需要同一个认证信息(比如:用户名/密码),并且只需要登录一次就可使用所有的应用。单点登录的实质就是安全上下文(Security Context)或凭证(Credential)在多个应用系统之间的传递或共享。

        单点登录的分类方法很多,在这里我们按照服务端的实现方式分为:基于Web的单点登录和客户/服务器单点登录。

Web单点登录:

        HTTP协议是无状态的,也就意味着不能跟踪用户会话。对服务器的每个请求都被看作是全新的请求,从而理论上用户访问应用功能必须进行身份认证。解决这一问题的方法之一是让浏览器缓存身份验证信息,而且把它与每个请求一起提供给Web服务器,这样就可以把用户从多次重新输入中解脱出来。但是,这样将加剧明文口令在Internet中传输,由此带来更加麻烦的安全因素。另外,跨域访问时仍然需要用户登录。

       WebSSO系统应运而生,涌现了一大批实用系统,包括Netegrity SiteMinder、Microsoft Passport、Entrust getAccess和RSA ClearTrust等。用户只要登录一次,就可以访问群集中的任何其他Web服务器,在会话期间不需要再次登录。通常是使用浏览器cookie来维持会话。

      Web SSO系统允许使用自定义的和品牌化的登录屏幕,同时可支持多种身份验证机制,例如口令、RSA SecurID、Windows域登录和公钥证书等。另外,还能够提供授权服务。因为在HTTP请求服务期间,Web服务器在HTTP请求处理期间在关键点实现截取,所以Web SSO系统可以很容易地与Web服务器集成在一起。

客户/服务器单点登录:

       与Web交互作用需要SSO功能一样,客户/服务器系统也需要SSO。Kerberos是客户/服务器系统最常用的方法,例如在微软COM+中就用到它。

       客户/服务器单点登录系统典型的登录过程为:
1).在客户端部署专门的单点登录客户端代理,支持所有应用;
2).用户先启动单点登录客户端代理,用主账号登录单点登录服务器,主账号验证成功后单点登录客户端代理获得一个一次性的登录标识;
3).用户在需要的时候启动应用系统、主机、网络设备客户端,发出连接请          求;
4).单点登录客户端代理捕获到连接请求,加上登录标识一起加密发送给服务          器;
5).在服务器一侧有两种实现方法,一种是独立网关方式,即在服务器前部署服务器端单点登录代理,捕获到连接请求及登录标识后解密,将登录标识转发给单点登录服务器,完成正常登录;另一种是嵌入方式,即将服务器端单点登录代理的功能以单点登录API的形式集成到应用服务器中,实现上述通过登录标识完成登录的过程。网关方式比较适用于主机、网络设备,嵌入方式适用于应用系统。
6).用户从单点登录服务器登出时,单点登录服务器废除原先颁发给用户的登录标识,单点登录客户端代理中断所有连接,实现“一处登出,处处登出”,当然在应用服务器中也必须能够对这种非正常退出进行处理,不能因此而造成资源不能正常释放。

作者注明:以后的文章主要针对Web单点登录。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值