单点登录(SSO)的实现—通行证的基本原理

最新推荐文章于 2021-04-21 13:40:52 发布
最新推荐文章于 2021-04-21 13:40:52 发布
阅读量496 收藏
点赞数
分类专栏: JAVA 文章标签: sso session 数据库 soap 研发实践 bbs
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/christymomo/article/details/6455028
版权

问题起源:想做一个面向校园的网站,因为势单力薄。部分模块采用整合其它开源系统的方案,比如BBS系统和BLOG系统。首先面临的就是用户身份认证的方式。由于这些不是自己开发的系统,都分别有自己的用户系统,于是面临统一身份认证的过程。

以前看过企业级的Web service方案,主要是通过XML,SOAP,WSDL和UDDI来实现。将应用服务都注册到UDDI服务器中,通过SOAP协议使用XML传递信息(当然需经过加密)。由于涉及到很多服务部署的问题,用JAVA来做这样的项目肯定是再好不过的了。我的目的只是几个WEB系统的整合,肯定是要排除这么伟大的方案了。关于Web service有兴趣的朋友可以参考机械工业出版社出版的《Web Servides原理与研发实践》,里面有详细的介绍。

那么对于这样的小WEB系统的整合该怎么来实现?我们假设这是个从零开始的项目,除了自己开发的系统外,还要用到一些其它组织开发的开源系统:比如BLOG,CMS,BBS。这些系统都有各自的用户系统。要把他们整合到一块有个原则,就是尽量不要破坏或者修改这些系统。那么要实现统一身份认证,我们必须要有一个用户信息库,然后吧这个数据库的信息映射到那些子系统的数据库中,在大型项目中,一般都会独立出一台单独的用户信息服务器,大部分高校采用LDAP来存放用户信息,因为采用的是树状结构,对经常读取但很少修改的数据而言,它的性能是很高的。

LDAP用户库和各子系统用户库的映射有很多种方法,我这里只用最简单的直接映射,也就是帐号和密码都是相同的。

假设我的域名部署如下

http://news.domain.com 这是CMS系统的域名

http://bbs.domain.com 这是论坛的域名

http://blog.domain.com 这是博客域名

http://reg.domain.com 这是统一注册和登录页面的域名
首先是注册,我们让所有子系统注册页面都转向到一个注册页面上来(各种脚本语言都有转向函数),比如说当用户希望在http://blog.domain.com/reg.php注册是,reg.php把这个请求转向到http://reg.domain.com/reg.php.

在实现注册时,由于刚开始时候子系统并不多,注册时把用户注册信息写入主用户数据库的同时写入各子系统的用户库。以后若有新的子系统加入进来时可以通过帐号激活的方式来实现新系统的帐号激活。

用户登录的过程,可以参考如下来自IBM的图片

 

流程描述如下:(仅描述正常流程)

1. 用户使用在统一认证服务注册的用户名和密码(也可能是其他的授权信息,比如数字签名等)登陆统一认证服务;

2. 统一认证服务创建了一个会话,同时将与该会话关联的访问认证令牌返回给用户;

3. 用户使用这个访问认证令牌访问某个支持统一身份认证服务的应用系统;

4. 该应用系统将访问认证令牌传入统一身份认证服务,认证访问认证令牌的有效性;

5. 统一身份认证服务确认认证令牌的有效性;

6. 应用系统接收访问,并返回访问结果,如果需要提高访问效率的话,应用系统可选择返回其自身的认证令牌已使得用户之后可以使用这个私有令牌持续访问。

上面所说的令牌我在WEB引用中可以用COOKIE或者SEESION来实现。

例如通过COOKIE来实现

1.用户在统一登录页登陆,通过查询主用户数据库判断用户是否合法,若是,则注册该用户的唯一COOKIE标识(可以通过加密用户名和密码得到,网上有很多算法)。

2.用户进入某子系统时,先判断COOKIE是否注册,若注册了,则解密该COOKIE得到用户名和帐号,并判断合法性。

3.如果合法,则立刻在该子系统中注册(可在原子系统的登录脚本种抽出登录的部分做成一个函数)

使用COOKIE的优点就是简单,只要设置一下就可以实现COOKIE的跨子域传递

例如

setcookie(NC_USER_COOKIE, 用户名, 失效时间, 作用路径, ‘.domain.com’);

就能实现在所有.domain.com子域下的传递。

但COOKIE也有他的缺点,首先就是安全级别不高,要提防COOKIE劫持的威胁,其次就是它只能跨子域传递,而不能跨完全不同的域。比如说domain.com和fuck.com之间就不能传递。

然后再说下SESSION的方式,由于SESSION是存储在服务器端的,所以安全级别肯定要比COOKIE的级别高。但是由于SEESION存储的位置不同,造成了无法跨域传递。可以通过把SEESION村入数据库来解决这个问题。

由于PHP的SESSION需要用到标识SESSION的COOKIE,所以需要设置下COOKIE的作用域

 

本文来自CSDN博客,转载请标明出处:http://blog.csdn.net/sdts/archive/2007/10/30/1856699.aspx

christymomo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
单点登录(SSO)的实现---通行证基本原理
phphot
02-26 3156
PHPChina 开源社区门户%AD5EN {vscreen.width-460)this.width=screen.width-460" src="http://016.cn/upimg/allimg/080111/1251400.gif" ōnclick="if(this.width>screen.width-461) window.open(attachment/Mon_06
SSO单点登录实现步骤及代码整理
奋斗中的小码农博客
02-21 4849
SSO单点登录的理解和总结 单点登录是什么? 通俗的讲可以理解为:是一个系统登录,与其相关的系统模块就不用重复登录。 (登录一次就可以访问多个应用场景模块,减少重复登录,增加客户体验度) SSO介绍 SSO英文全称Single Sign On,单点登录SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的...
网站通行证方案-单点登录SSO
phphot
10-25 2813
记得曾经网站通行证开发是很热门的话题,最近正好有了解到相关的, 和大家谈谈我所了解的单点登录是怎么实现的。单点登录即几个不同网站(CP应用)只要在一个地方登录就在所有其它网站同时登录了。首先我们要一个SSO站点来统一登录。访问一个 CP网站需要登录页面流程应该是这样的:用户点击一个需要登录页面CP网站判断本站是否已经有认证信息(如检查cookie) ,有认证信息用户可以访问页面,没有认证信息跳转到
单点登录SSO
zzylekang的博客
04-21 357
参考 登录那些事儿 http://cnodejs.org/topic/5671441a1d2912ce2a35aaa1 基于OAuth2.0的单点登录系统 - 豆丁网 http://www.docin.com/p-935500768.html 统一用户认证和单点登录解决方案_百度文库 http://wenku.baidu.com/link?url=TOS9NqZ9GMWZMSh2t-bCABG7ylM0k_eSj-Y4IGq7LUWJwPMGTrXfKLgO6CEtjXEpjCyt_m9MBFV-sRi
sso单点登录
11-25
单点登录(Single Sign-On,简称SSO)是一种网络访问控制机制,允许用户在一次登录后,无需再次认证即可访问多个相互信任的应用系统。这种方式极大地提高了用户体验,减少了用户记忆和输入多个账号密码的麻烦,同时...
JWT实现单点登录系统Demo
02-01
**JWT实现单点登录系统Demo详解** 单点登录(Single Sign-On,简称SSO)是一种用户在多个应用系统中只需登录一次即可访问所有系统的身份验证机制。在现代Web应用程序中,SSO已经成为提高用户体验、简化管理的重要...
cas单点登录配置
06-18
单点登录(Single Sign-On,简称SSO)是一种网络应用中的身份验证机制,它允许用户在一次登录后访问多个相互关联的应用系统,而无需再次进行身份验证。CAS(Central Authentication Service)是耶鲁大学开发的一个...
PassTop!_2.0.0.rar_php通行证系统
最新发布
09-21
这样,用户在登录一次后,无需在其他已整合的子站上重复输入用户名和密码,实现了跨站单点登录(Single Sign-On, SSO)的功能。 PassTop! 2.0.0 的Releas_20101225版本可能意味着这是2010年12月25日发布的版本,而...
编写你自己的单点登录(SSO)服务
08-31
单点登录(Single Sign-On,简称SSO)是一种网络身份验证技术,允许用户在一个系统中登录后,无需再次输入凭证即可访问其他相互信任的系统。这种技术在企业环境中尤其重要,因为它提高了用户体验,减少了安全管理的...
cas统一身份认证sso
01-29
统一身份认证-CAS配置实现 SSO单点登录Spring-Security+&+CAS+使用手册 统一身份认证-CAS配置实现 CAS登录验证(密码MD5、SHA加密后_再进行Base64加密实现代码)_与Liferay的用户身份验证对应
单点登录 cas 设置回调地址_统一身份认证和单点登录的区别
weixin_39931362的博客
11-08 986
首先大家会遇到这样一个问题,统一身份认证和单点登录的概念是什么?百度百科对统一身份认证的定义所谓身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。复杂一些的身份认证方式采用一些较复杂的加密算法与协议,需要用户出示更多的信息(如私钥)来证明自己的身份,如Kerber...
基于Session共享的单点登录通行证系统方案
陈海峰的博客
04-16 3019
本文主要描述如何基于Session共享来实现单点登录。 假设有两个应用www.example.com, passport.example.com。本文以SpringSession和Redis来实现相关功能。 用户访问passport.example.com,输入用户名和密码认证成功后,在服务端建立会话,SESSIONID以cookie形式保存在根域example.com,用户访问www.exa
编写你自己的单点登录SSO)服务
热门推荐
javachannel的专栏
05-24 14万+
王昱 yuwang881@gmail.com   博客地址http://yuwang881.blog.sohu.com摘要:单点登录SSO)的技术被越来越广泛地运用到各个领域的软件系统当中。本文从业务的角度分析了单点登录的需求和应用领域;从技术本身的角度分析了单点登录技术的内部机制和实现手段,并且给出Web-SSO和桌面SSO实现、源代码和详细讲解;还从安全和性能的角度对现有的实现
CAS 介绍 单点登录认证系统
技术创造未来,程序改变生活。
02-26 6915
CAS 介绍  CAS(Central Authentication Service),是耶鲁大学开发的单点登录系统(SSO,single sign-on),应用广泛,具有独立于平台的,易于理解,支持代理功能。CAS系统在各个大学如耶鲁大学、加州大学、剑桥大学、香港科技大学等得到应 用。 Spring Framework的Acegi安全系统支持CAS,并提供了易于使用的方案。Acegi安全系统
单点登录实现原理
ajg87686的博客
06-22 924
  单点登录在现在的系统架构中广泛存在,他将多个子系统的认证体系打通,实现了一个入口多处使用,而在架构单点登录时,也会遇到一些小问题,在不同的应用环境中可以采用不同的单点登录实现方案来满足需求。我将以我所遇到的应用环境以及在其中所经历的各个阶段与大家分享,若有不足,希望各位不吝赐教。 一、共享Session   共享Session可谓是实现单点登录最直接、最简单的方式。将用户认证信息...
Web Service Case Study: 统一身份认证服务
09-22 1635
Web Service Case Study: 统一身份认证服务(转载)- -                                       内容:应用背景解决方案使用Web服务架构相关的工作参考资料 关于作者对本文的评价相关内容:Web Service Case Study : 软件反馈跟踪平台Web Service Case Study : 认证考试申请服务Web Service
统一身份认证系统的简单看法
Enweitech Software Works
08-17 2万+
【事件背景】洋葱服务为什么没被成功接盘?_搜狐科技_搜狐网 https://www.sohu.com/a/124452755_354899 今天无意中看到这则新闻,发现人家洋葱认证服务已经停运1年多啦,瞬时伤心,免费的验证服务终究不会长久。 洋葱的创始人 也就是dnspod创始人 给我们免费的认证验证 说没就没了  转而现在都是付费的IAM或者其他CAS认证系统 基于此,笔者就来说说企业开发...
单点登录SSO)基础篇_v3.pdf
09-15
单点登录SSO)基础篇_v3.pdf,这是一份关于单点登录的技术文档

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值