基于公私密钥的单点登录

已于 2023-04-04 10:26:33 修改
阅读量710 收藏 1
点赞数
文章标签: 安全
于 2023-04-04 10:22:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ido1ok/article/details/129945766
版权
文章介绍了单点登录(SSO)的几种实现方法,包括基于session复制、cookie+redis、token以及使用公私钥加密的DSA算法。讨论了每种方法的实现细节,如通过cookie存储信息、地址栏传递token,以及如何通过公钥验证私钥签名来确保安全性。
摘要由CSDN通过智能技术生成

目前已知的单点登陆方式有:

多个系统集群

建立一个SSO认证中心,用户只需要登录一次就可以访问所有相互信任的应用系统。

1、可以通过session广播机制实现:在一个集群中的一个模块登录后,然后把这个session复制n份,发送到这个集群的其他模块中,就实现了一处登录,处处可用,但缺点是耗费比较大,不推荐使用

2、使用cookie+redis实现:在项目中任何一个模块登录,登录之后,把数据放到这两个地方

(1)redis:在key:生成唯一随机值(ip、用户id等等)  ,在value:用户数据

(2)cookie:把redis里面生成key值放到cookie里面

访问项目中其他模块,发送请求带着cookie进行发送,服务端获取请求中的cookie,把cookie获取值,到redis进行查询,根据key进行查询,如果查询数据就是登录

点对点系统

3、使用token实现

token:按照一定规则生成字符串,字符串可以包含用户信息的令牌

在项目某个模块进行登录,登录之后,按照规则生成字符串,把登陆之后用户包含到生成字符串里面,把字符串返回

(1)可以把字符串通过cookie返回

(2)把字符串通过地址栏返回

2.再去访问项目其他模块,每次访问在地址栏带着生成的字符串,在访问模块里面获取地址字符串,根据字符串获取用户信息。如果可以获取到,就是登录

基于公私密钥的单点登录

针对两个系统之间的单点登陆,使用token类似方式实现是最简单的。这里,我们通过一定的规则构造字符串(必须带有用户账户信息),并根据已有的私钥进行加密签名,返回到url中,请求目标系统,目标系统解析url中的签名,并根据公钥进行验签,通过之后,允许登陆,写入登陆信息到session。

公私秘钥的安全性由算法保证。算法是基于DSA签名, PKCS #8和X509是对应算法的处理类。对私钥按照 PKCS #8 标准编码处理、对公钥是使用了X509。 

DSA算法概述

DSA算法是美国的国家标准数字签名算法,它只能用户数字签名,而不能用户数据加密和密钥交换。

DSA与RSA的生成方式不同,RSA是使用openssl提供的指令一次性的生成密钥(包括公钥),而通常情况下,DSA是先生成DSA的密钥参数,然后根据密钥参数生成DSA密钥(包括公钥),密钥参数决定了DSA密钥的长度,而且一个密钥参数可以生成多对DSA密钥对。

DSA生成的密钥参数是p、q和g,如果要使用一个DSA密钥,需要首先共享其密钥参数。关于DSA加密的原理,请自行查阅。

私钥、公钥的获取可以使用OpenSSL工具生成,文章:https://www.jianshu.com/p/35ae4fb9e4a3

生成加密密钥部分参考

private static final String DSA = "DSA";
private static SimpleDateFormat CRED_TIME_FORMAT = new SimpleDateFormat("yyyyMMddHHmm");
private static String CRED_SEPERATOR = ":";
private static String signatureAlg = "SHA1WithDSA";
private static String SELF_PROJECTENAME = "A";
  
private static String privateKeyStr = "******";
private static String publicKeyStr = "*****"



KeyFactory keyFactory = KeyFactory.getInstance(DSA);
//对私钥解密
byte pri[] = ByteUtils.decodeHex(privateKeyStr);
 //取私钥
PKCS8EncodedKeySpec privKeySpec = new PKCS8EncodedKeySpec(pri);
PrivateKey priKey = keyFactory.generatePrivate(privKeySpec);Calendar now = Calendar.getInstance();
String minuteStr = CRED_TIME_FORMAT.format(now.getTime());
  
StringBuffer str = new StringBuffer();
//增加判定的其他参数
str.append(minuteStr).append(CRED_SEPERATOR).append(user).append(
CRED_SEPERATOR).append(self).append(CRED_SEPERATOR).append(
target);
//对数据签名
Signature sig = Signature.getInstance(signatureAlg);
sig.initSign(priKey);
sig.update(str.toString().getBytes("UTF8"));
byte[] signature = sig.sign();
  
String signatureStr = ByteUtils.encodeHex(signature);
str.append(CRED_SEPERATOR).append(signatureStr);

解析加密密钥部分参考

KeyFactory keyFactory = KeyFactory.getInstance(DSA);
//对公钥解密
//解析步骤:1 获取p_password参数,检查参数格式是否正确
//        2 将p_password拆解为两部分,最后一个:前一部分是signTarget单点信息摘要,后一部分是signatureTxt签名
//        3 设置算法signature参数,包括公钥,信息摘要和签名,调用验证,返回是否验证通过的结果ok
   String[] segments = cre.split(CRED_SEPERATOR);
        if (segments.length != 5) {
            logger.warn("票据应该是5段");
            return null;
        }
        //时间
        String ticketTime = segments[0];
        //登录用户名
        String ssoUser = segments[1];
        //源系统
        String srcSystem = segments[2];
        //目标系统
        String targetSystem = segments[3];
        //私钥签名
        String signatureTxt = segments[4];
 
 
String signTarget = cre.substring(0, cre.lastIndexOf(CRED_SEPERATOR));
 
 
 
byte pub[] = ByteUtils.decodeHex(publicKeyStr);
//取公钥
X509EncodedKeySpec pubKeySpec = new X509EncodedKeySpec(pub);
PublicKey pubKey = keyFactory.generatePublic(pubKeySpec);
  
byte[] signature = ByteUtils.decodeHex(signatureTxt);
Signature sig = Signature.getInstance(signatureAlg);
sig.initVerify(pubKey);
sig.update(signTarget.getBytes("UTF8"));
//验证签名
boolean ok = sig.verify(signature);

工具类ByteUtil

public class ByteUtils {
 
    /**
     * 转换md5码
     *
     * @param data 要转换的String
     * @return md5 md5码
     */
    public static final String MD5(String data) {
        try {
            MessageDigest digest = MessageDigest.getInstance("MD5");
            digest.update(data.getBytes("utf-8"));
            return encodeHex(digest.digest());
        } catch (Exception e) {
            throw new IllegalStateException(e.getMessage());
        }
    }
 
    /**
     * 将bytes字节转换成md5码
     *
     * @param bytes bytes
     * @return the string
     */
    public static final String encodeHex(byte bytes[]) {
        StringBuffer buf = new StringBuffer(bytes.length * 2);
        for (int i = 0; i < bytes.length; i++) {
            if ((bytes[i] & 0xff) < 16)
                buf.append("0");
            buf.append(Long.toString(bytes[i] & 0xff, 16));
        }
 
        return buf.toString();
    }
 
    /**
     * 字符串编码转为byte字节数组
     *
     * @param hex 要转换的字符串
     * @return byte[] 转换得到的byte编码
     */
    public static final byte[] decodeHex(String hex) {
        char chars[] = hex.toCharArray();
        byte bytes[] = new byte[chars.length / 2];
        int byteCount = 0;
        for (int i = 0; i < chars.length; i += 2) {
            int newByte = 0;
            newByte |= hexCharToByte(chars[i]);
            newByte <<= 4;
            newByte |= hexCharToByte(chars[i + 1]);
            bytes[byteCount] = (byte) newByte;
            byteCount++;
        }
 
        return bytes;
    }
 
    /**
     *
     */
    private static final byte hexCharToByte(char ch) {
        switch (ch) {
            case 48: // '0'
                return 0;
 
            case 49: // '1'
                return 1;
 
            case 50: // '2'
                return 2;
 
            case 51: // '3'
                return 3;
 
            case 52: // '4'
                return 4;
 
            case 53: // '5'
                return 5;
 
            case 54: // '6'
                return 6;
 
            case 55: // '7'
                return 7;
 
            case 56: // '8'
                return 8;
 
            case 57: // '9'
                return 9;
 
            case 97: // 'a'
                return 10;
 
            case 98: // 'b'
                return 11;
 
            case 99: // 'c'
                return 12;
 
            case 100: // 'd'
                return 13;
 
            case 101: // 'e'
                return 14;
 
            case 102: // 'f'
                return 15;
 
            case 58: // ':'
            case 59: // ';'
            case 60: // '<'
            case 61: // '='
            case 62: // '>'
            case 63: // '?'
            case 64: // '@'
            case 65: // 'A'
            case 66: // 'B'
            case 67: // 'C'
            case 68: // 'D'
            case 69: // 'E'
            case 70: // 'F'
            case 71: // 'G'
            case 72: // 'H'
            case 73: // 'I'
            case 74: // 'J'
            case 75: // 'K'
            case 76: // 'L'
            case 77: // 'M'
            case 78: // 'N'
            case 79: // 'O'
            case 80: // 'P'
            case 81: // 'Q'
            case 82: // 'R'
            case 83: // 'S'
            case 84: // 'T'
            case 85: // 'U'
            case 86: // 'V'
            case 87: // 'W'
            case 88: // 'X'
            case 89: // 'Y'
            case 90: // 'Z'
            case 91: // '['
            case 92: // '\\'
            case 93: // ']'
            case 94: // '^'
            case 95: // '_'
            case 96: // '`'
            default:
                return 0;
        }
    }

春风十里不如你9527
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
泛微二次开发 - 单点登录
通达OA二次开发 联系QQ2524837118
09-29 6756
【389720】新增功能:第三方系统单点登录OA Submitted By Weaver 第一卷:价格卷(正本) ...
其他系统通过公匙私钥单点登录本系统
【轰炸机】的博客
08-20 395
通过公匙私钥单点登录安全认证工具类具体接口调用工具类 安全认证工具类 import java.util.Date; import org.apache.commons.codec.digest.DigestUtils; import org.apache.commons.lang.StringUtils; import org.apache.commons.logging.Log; import ...
单点登陆 ---密钥
weixin_30318645的博客
01-24 130
一、需求描述 现在有A系统和B系统,需要在A系统进行单点登陆到B系统。 二、B系统要事 1、提供一个可以让A系统登陆的网址 http://localhost:8083/Account/SingleSignOn/?u=xxx&token=FB92B341DBDB59D7 其中,u为加密后的用户名,token为B系统与A系统单点登录握手密钥 2、控制器中的方法代码如下 ...
单点登录(Single-Sign-On)解决方案
最新发布
2301_82242204的博客
04-12 405
面试题文档来啦,内容很多,485页!由于笔记的内容太多,没办法全部展示出来,下面只截取部分内容展示。
基于公私钥认证对Redis未授权漏洞利用及防护措施
tpriwwq的专栏
10-23 3039
漏洞说明:Redis 默认情况下,会绑定在0.0.0.0:6379,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip 访问等,如果在没有设置密码认证(一般为空)的情况下,会导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。攻击者在未授权访问 Redis 的情况下,利用 Redis 自身的提供的config 命令,可以进行写文件操作,攻击者成功将自己的ssh公钥写入目标服务器的 /root/.ssh 文件夹的authotrized_keys .
【泛微E9开发】集成登录之加密算法设置(二)
司徒剑南的博客
07-24 440
2、如果无法使用系统默认的加密算法,可以根据要求自行开发自定义加密算法,并在此处引用。加密方法、根据是情况填写,一般是encode。解密方法:根据是情况填写,一般是decode。1、系统默认自带加密算法供客户使用。加密算法:自行开发的加密算法类路径。是否需要秘钥:根据实际情况设置。是否需要向量:根据实际情况设置。
基于零知识证明的自组织的Ad hoc网络密钥管理 (2011年)
04-29
这种方式不仅提高了系统的健壮性,还降低了单点故障的风险。 #### 四、实验结果 实验结果显示,这种新的自组织Ad hoc网络密钥管理方案具有以下优势: - **通信量显著降低**:由于节点能够自行生成密钥和证书,...
基于FIDO技术的物联网身份认证解决方案.pdf
09-09
同时,由于FIDO认证不依赖于中央认证服务器,减少了单点故障的风险,增强了系统的整体安全性。 文章可能涵盖了以下几个方面: 1. **FIDO技术详解**:介绍FIDO的原理,包括公私钥对的生成、非对称加密以及与服务器...
CA证书服务器的建立与使用课程设计实验报告.doc
07-05
实验的主要目标是让参与者掌握以下知识点: 1. **CA认证基础**:了解CA的基本概念,以及其在公钥基础设施(PKI)中的作用。 2. **SSL/TLS协议**:学习SSL/TLS协议的工作原理,它是保证网络通信安全的重要手段。 3. ...
Rust中的阈值BLS签名.zip
03-28
这种机制在分布式系统、去中心化应用(如区块链)中非常有用,可以提高系统的安全性,防止单点故障,并确保即使部分参与者被恶意攻击,整个系统的安全性也不会受到破坏。 在Rust的实现中,开发者通常会使用诸如`...
国科大计算机网络题目加答案
07-23
其加密和解密过程涉及大素数的选择、模运算、以及公私钥的生成。RSA算法适合于少量数据的加密,因为它的计算速度远慢于对称加密算法。 ### 知识点四:CDN的DNS服务器地址映射 #### 知识说明: 内容分发网络(CDN)...
Java单点登录基础实现(jwt+rsa)
xiaozhuzhuyang的博客
06-10 5060
分布式单点登录 介绍: 单点登录(Single Sign On),简称为 SSO,是比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。 登录方式的分类: 按用户状态分: 有状态登录 服务器需要保存用户的信息,登录成功后将用户存在session中,通过cookie保存Jsessionid,下次访问携带id,获得服务器中的用户信息。 问题:session只能保存再一个服务器中,其他服务访问需要再次登录。 无状态登录 将信息保存到客户端(使
各种签名(signature)和校验
liangwenrong的博客
05-22 8525
签名的概念 目的: 为了确认某个信息确实是由某个发送方发送的,或者某个发布内容确实是由发送方发布的,任何人都不可能伪造消息,并且,发送方也不能抵赖。 方法: 对发布的信息内容,通过某种可靠的加工(比如进行MD5运算),生成签名标识(字符串序列或者证书之类) 验证: 任何人拿到发布的信息内容后,可以通过同样的加工,得出签名标识,如果比对和发布者公布的签名一致,则验证为真。 签名与加密区别: 加密是为了不让别人知道原来的信息,签名是为了保证大家获取到的原来的信息是没有经过改动的。 签名算法 1、MD5 对字符
泛微E9下开发单点登陆金蝶云星空
泛微二次开发后端知识总结
05-26 978
需要金蝶方提供的参数将这些信息配置到一个固定的配置文件中。
实战springboot+CAS单点登录系统
weixin_54106682的博客
06-20 3354
cas单点登录
单点登录(SSO)、JWT、HTTP详解及实例演示
BaiKnow的博客
02-07 3653
单点登录(JWT) 作者:pox21s 1.HTTP 1.1 概述 超文本传输协议(Hyper Text Transfer Protocol,HTTP)是一个简单的请求 - 响应协议,它通常运行在TCP之上。(1) 所谓的"协议"实际上就是双方约定好的"格式"让双方都能看得懂的东西,交互实际上就是"请求"和"响应"。 (1):在HTTP/3 使用的就是 UDP 协议 1.2 发展 HTTP/1.0 HTTP/1.0 成为最重要的面向事务的应用层协议。该协议对每一次请求/响应建立并拆除一次连接。默认
Java中使用RSA对请求和接收数据进行签名校验
大新博客
08-26 9913
Java中使用RSA对请求和接收数据进行签名校验 RSA是非对称加密算法,具体原理是什么这里不解释,给出一遍文字解释的非常详细。 http://www.ruanyifeng.com/blog/2013/06/rsa_algorithm_part_one.html OpenSSL工具安装 Linux用户(以Ubuntu为例) sudo apt-get i
这是我见过最强的单点登录认证系统!
emprere的博客
04-03 49
点击关注公众号:互联网架构师,后台回复2T获取2TB学习资源!上一篇:2T架构师学习资料干货分享大家好,我是互联网架构师!项目介绍MaxKey 单点登录认证系统,谐音马克思的钥匙寓意是最大钥匙,支持 OAuth 2.x/OpenID Connect、SAML 2.0、JWT、CAS、SCIM 等标准协议,提供简单、标准、安全和开放的用户身份管理(IDM)、身份认证(AM)、单点登录(SSO)、R...
CentOS通过公私钥方式实现linux机器间免密登录(较完整步骤)
qq_45391176的博客
03-01 2852
在一些企业限制sshd端口服务情况下,如何安全且便利的自配置已有权限的linux机器之间sshd免密登录
PHP生成一对RSA公私密钥
06-03
在PHP中,可以使用openssl扩展生成一对RSA公私密钥。以下是一个简单的示例代码: ```php // 生成RSA密钥对 $config = array( "digest_alg" => "sha512", "private_key_bits" => 4096, "private_key_type" => OPENSSL_KEYTYPE_RSA, ); $keys = openssl_pkey_new($config); // 获取私钥 openssl_pkey_export($keys, $private_key); // 获取公钥 $public_key = openssl_pkey_get_details($keys); $public_key = $public_key["key"]; // 输出密钥对 echo "Private Key:\n" . $private_key . "\n"; echo "Public Key:\n" . $public_key . "\n"; ``` 在上面的代码中,我们首先使用openssl_pkey_new函数生成一对RSA密钥对,其中$config数组指定了密钥的相关参数,例如摘要算法、密钥长度和密钥类型等。然后,我们使用openssl_pkey_export函数获取私钥,使用openssl_pkey_get_details函数获取公钥,并输出密钥对。 需要注意的是,上面的代码仅供参考,实际应用中,需要根据具体的情况对代码进行修改和优化,例如增加错误处理和异常处理等。同时,生成的密钥对需要严格保密,不要在不安全的环境下泄露密钥
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值