单点登录(SSO)服务(续)

最新推荐文章于 2022-09-19 03:31:04 发布
最新推荐文章于 2022-09-19 03:31:04 发布
阅读量115 收藏
点赞数
文章标签: SSO Java 网络应用 SUN Security
7 真正安全的全方位 SSO 解决方案: Kerberos
我们的样例程序(桌面 SSO WEB-SSO )都有一个共性:要想将一个应用集成到我们的 SSO 解决方案中,或多或少的需要修改应用程序。 Web 应用需要配置一个我们预制的 filter ;桌面应用需要加上我们桌面 SSO JAAS 模块(至少要修改 JAAS 的配置文件)。可是有很多程序是没有源代码和无法修改的,例如常用的远程通讯程序 telnet ftp 等等一些操作系统自己带的常用的应用程序。这些程序是很难修改加入到我们的 SSO 的解决方案中。
事实上有一种全方位的 SSO 解决方案能够解决这些问题,这就是 Kerberos 协议( RFC 1510 )。 Kerberos 是网络安全应用标准 (http://web.mit.edu/kerberos/) ,由 MIT 学校发明,被主流的操作系统所采用。在采用 kerberos 的平台中,登录和认证是由操作系统本身来维护,认证的凭证也由操作系统来保存,这样整个桌面都可以处于同一个 SSO 的系统保护中。操作系统中的各个应用(如 ftp,telnet )只需要通过配置就能加入到 SSO 中。另外使用 Kerberos 最大的好处在于它的安全性。通过密钥算法的保证和密钥中心的建立,可以做到用户的密码根本不需要在网络中传输,而传输的信息也会十分的安全。
目前支持 Kerberos 的操作系统包括 Solaris, windows,Linux 等等主流的平台。只不过要搭建一个 Kerberos 的环境比较复杂, KDC (密钥分发中心)的建立也需要相当的步骤。 Kerberos 拥有非常成熟的 API ,包括 Java API 。使用 Java Generic Security Services(GSS) API 并且使用 JAAS 中对 Kerberos 的支持(详细信息请参见 Sun Java&Kerberos 教程 http://java.sun.com/ j2se/1.5.0/docs/guide/security/jgss/tutorials/index.html ),要将我们这个样例改造成对 Kerberos 的支持也是不难的。 值得一提的是在 JDK6.0 http://www.java.net/download/jdk6 )当中直接就包含了对 GSS 的支持,不需要单独下载 GSS 的包。
 
8 总结
本文的主要目的是阐述 SSO 的基本原理,并提供了一种实现的方式。通过对源代码的分析来掌握开发 SSO 服务的技术要点和充分理解 SSO 的应用范围。但是,本文仅仅说明了身份认证的服务,而另外一个和身份认证密不可分的服务 ---- 权限效验,却没有提到。要开发出真正的 SSO 的产品,在功能上、性能上和安全上都必须有更加完备的考虑。
作者简介
王昱是 Sun 中国工程研究院的 Java 工程师,现在的主要负责全球合作伙伴的技术支持。作为一名 Java 资深工程师和架构师,王昱在 Java 的很多领域都有多年的造诣,特别是在 Java 虚拟机、 J2EE 技术 ( 包括 EJB, JSP/Servlet, JMS Web services 等技术 ) 、集群技术和 Java 应用性能调优上有着较为丰富的经验。曾经多次在重要的 Java 会议发表演讲,并在国际著名的 Java 技术站 点发表文章。
 
资源链接
dodomail
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
配置 vCenter Single Sign-On 中
weixin_34402090的博客
08-29 5936
本篇是承接上一篇编辑vCenter Single Sign-On 令牌策略vCenter Single Sign-On 令牌策略指定时钟容错续订次数以及其他令牌属性。您可以编辑 vCenter Single SignOn 令牌策略以确保令牌规范遵从贵公司的安全标准。步骤 1 登录到vSphere Web Client。2 选择管理> Si...
面试系列:单点登录的知识(一)
岁月下的车辙
01-14 1844
这也太简单了。讲个自己的糗事,在我刚实习的时候,我曾经以为单点登录就是单用户登录,比如说我在一台手机上登录后,另一台手机再次登录就会把原先的那个给挤掉。因为这个在一次技术分享会上还出了大糗。实际上,单点登录是指在多个应用系统中,用户只需要登录任意一个系统,就可以访问其他的互相信任的系统。比如说我在天猫登录后,在浏览器上输入淘宝的域名,你就已经登录成功了。关于单点登录的内容,这一节就暂时到这啦。下一章我们来聊下这节末尾提到的CAS以及相似的Oauth2。
全网最全JAVA面试八股文,终于整理完了
热门推荐
hahazz233的博客
06-24 1万+
又到一年金三银四面试跳槽季,你准备好了吗?今天为大家整理了目前互联网出现率最高的大厂面试题,所谓八股文也就是指文章的八个部分,文体有固定格式:由破题、承题、起讲、入题、起股、中股、后股、束股八部分组成,题目一律出自四书五经中的原文。而JAVA面试八股文也就是为了考验大家的JAVA基础功底,所以强烈建议背诵全文。(1) 原子性原子性指的是一个或者多个操作,要么全部执行并且在执行的过程中不被其他操作打断,要 么就全部都不执行。(2) 可见性可见性指多个线程操作一个共享变量时,其中一个线程对变量进行修改后,其他线
java active directory 单点登录_单点登录Kerberos——Active Directory
weixin_29303701的博客
03-06 484
我们有一个客户需要通过单点登录来保护Web应用程序,将来称为SSO。 它使用用户在登录Windows域时输入的身份验证和授权数据。这里,Web浏览器通过特殊机制(Kerberos)与Web应用程序和Active Directory进行通信,Active Directory在此处充当身份验证服务和票证授予服务。这里可以获得对该机制的简单解释。现在我们也有客户要求Web应用程序的SSO应该在完善的We...
Spring Security Oauth2 JWT----单点登录、注销、签的问题
weixin_46106066的博客
04-21 7273
什么是用户身份认证?  用户身份认证即用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继访问。常见的用户身份认 证表现形式有:用户名密码登录,指纹打卡等方式。 什么是用户授权?  用户认证通过后去访问系统的资源,系统会判断用户是否拥有访问资源的权限,只允许访问有权限的系统资源,没 有权限的资源将无法访问,这个过程叫用户授权。 单点登录 只要进行单点登录,就可以访问多个模块。  单点...
实现Cordys的gatway
11-23
在本文中,我们将深入探讨如何通过实现Cordys Gateway来实现实现单点登录(Single Sign-On, SSO)功能,以及如何利用该平台进行文件的上传和下载操作。 首先,让我们关注单点登录单点登录是一种身份验证机制,...
cas-client:适用于Node.js的CAS客户端中间件的完整实现,支持CAS 1.0、2.0 +,3.0 +协议
02-03
CAS(中央身份验证服务)是Web的单点登录/单点退出协议。 我们假设您已经熟悉CAS协议,如果不熟悉,请在使用前阅读本。安装$ npm install http-cas-client特征唱歌登录(SSO) 带有axios api的CAS代理,用于POST,...
微软文档:AD DS入门-3515页
最新发布
04-28
它允许用户从任何设备、任何位置安全地访问公司资源,实现单点登录SSO)和无缝第二重身份验证。 二、Active Directory 域服务 Active Directory 域服务是Windows 操作系统的组件,提供了身份验证、授权和管理...
[Windows] 网管必备之ADSelfService_Plus6.1
08-12
该产品楼主亲测可用,可用于AD域管理的公司为员工提供自主修改AD域密码功能,并且集成AD域控同步密码到如OPENLDAP等功能,也有SSO单点登录;提高了员工密码安全性和统一性 上上年的网友问的是企业版,此处给的是专业...
php_ldap.dll
02-20
LDAP目录通常被用作企业的集中身份验证和授权源,比如用于单点登录(Single Sign-On, SSO)系统。 在PHP中,`php_ldap` 扩展提供了与LDAP服务器通信的接口。使用这个扩展,你可以执行以下操作: 1. 连接到LDAP...
sso 登出_最强SSO单点登录教程(三)单点注销流程分析
weixin_42361070的博客
01-15 951
一、前言单点登录自然也要单点注销,在一个子系统中注销,所有子系统的会话都将被销毁,用下面的图来说明:单点注销流程步骤分析:1.用户在CRM系统中点击注销按钮.会重定向到统一认证中心的注销方法2.统一认证中心接受到注销请求之后,会销毁全局的会话.3.统一认证中心会拿到之前在该系统中注册的子系统集合.4.依次的调用子系统的登出方法,销毁局部会话.5.每个系统中的会话都已经销毁之后,跳转到登陆页面.二、...
SSO单点登陆和保持状态
SKY138421的专栏
04-17 1212
       一般的门户都用PORTAL,而PORTAL的核心就是单点登陆,如果统一认证的话就比较好做,不过大多数的系统都已经有各自的验证系统,所以SSO实现起来比较麻烦,基本上可以在原有的系统上做一个独一无二的标示,那么这个标示同一个用户,在不同的系统上是统一的,等用户登陆门户后,访问其它的系统就发一个XML文件,在这个文件中会有这个标示,那么就在其它系统上验证这个标示,查询出来放进SESSIO
kerberos体系 单点登录
PK_666的博客
03-11 910
一、单点登录 单点登录是安全凭证在多个应用系统之间的传递或共享,一次认证就可以访问其授权的所有网络资源。 二、kerberos 密钥分配中心(KDC) 三个阶段:获得票据许可票据、获得服务许可票据、获得服务。 ...
kerberos java实现,基于kerberos实现jaas登录
weixin_34766991的博客
03-16 1518
这段时间在做hadoop和kerberos的整合,顺便看了jaas和kerberos,这里给出使用kerberos登录模块的jaas例子。前提条件1.kerberos已经安装,principal已经创建,这里用的principal是已经建好的nn/admin@psy.com;2.客户端配置了kerberos;3.在JDK_HOME\jre\lib\security\java.security中增加...
五分钟带你玩转oauth2(十五)重写源码,自定义RedisTokenStore进行token单点登录
小鲍侃java
02-03 2972
当涉及到token时面临了一个问题,就是token期,在单点登录的环境中,登录用户因为可能访问第三方系统产生多个token,楼主的解决方式是判断同一个ip下,同一个用户,相同类型浏览器的token同时 1.复制spring security提供的RedisTokenStore 2.修改readAuthentication方法,在验证token时会调用这个方法。 public class CustomRedisTokenStore implements TokenStore { @A.
Kerberos单点登录实现过程
q98798611的博客
02-04 1052
转自:[url]http://dsw.iteye.com/blog/333351[/url] 最近公司在做单点登录的选型,看了看Kerberos的技术实现。感觉网上Kerberos的相关资料不多,自己做了总结和大家分享,因为是在选型阶段,没做太深入的学习,学习了Kerberos的单点登录过程。 Kerberos基本原理 [b]先转几个链接[/b] 1.关于理解Kerberos原理的...
SSO单点登录三种情况的实现方式详解(一)
HaiXingCha的博客
05-10 3612
单点登录SSO——Single Sign On)对于我们来说已经不陌生了。对于大型系统来说使用单点登录可以减少用户很多的麻烦。就拿百度来说,百度下面有很多的子系统——百度经验、百度知道、百度文库等等,如果我们使用这些系统的时候,每一个系统都需要我们输入用户名和密码登录一次的话,我相信用户体验肯定会直线下降。当然,对于个人博客这类系统来说根本就用不上单点登录了。(假如,我们的系统很庞大,但是就是这一
SSO单点登陆方案整理
纯月部落
09-17 6490
整理一下:1 对于纯web得sso,如果有独立得SSO登陆服务器,所有的验证都跳转到这个服务器的界面,登陆的状态保留在sso server上2 如果要桌面和web共同认证,还是必须有独立得SSO,对于自己实现的方案,例如如果是通过一个桌面程序来实现SSO,那么必须有一台SSO服务器,桌面程序通过httpclient验证身份,然后可以通过a. 修改本机cookies让IE传认证令牌b.
JWT 单点登录
severl的博客
09-19 1624
JWT单点登录相关概念问题及基础操作介绍,附加面试题。
Java实现单点登录(SSO)跨服务器验证详细步骤
"这篇文档详细介绍了跨服务器登录验证(单点登录SSO)的过程,并给出了一个基于Java的简单实现示例。" 单点登录(Single Sign-On,简称SSO)是一种网络用户身份验证机制,允许用户在一个应用系统中登录后,无需再次...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值