单点登录(SSO)—简介

最新推荐文章于 2024-04-25 17:27:12 发布
最新推荐文章于 2024-04-25 17:27:12 发布
阅读量548 收藏 1
点赞数
分类专栏: 技术人生の设计模式篇 文章标签: sso sun manager java acegi access

单点登录SSO(Single Sign-On)是身份管理中的一部分。SSO的一种较为通俗的定义是:SSO是指访问同一服务器不同应用中的受保护资源的同一用户,只需要登录一次,即 通过一个应用中的安全验证后,再访问其他应用中的受保护资源时,不再需要重新登录验证。

目前的企业应用环境中,往往有很多的应用系统,如办公自动化(OA)系统,财务管理系统,档案管理系统,信息查询系统等等。这些应用系统服务于企业的信息 化建设,为企业带来了很好的效益。但是,用户在使用这些应用系统时,并不方便。用户每次使用系统,都必须输入用户名称和用户密码,进行身份验证;而且应用 系统不同,用户账号就不同,用户必须同时牢记多套用户名称和用户密码。特别是对于应用系统数目较多,用户数目也很多的企业,这个问题尤为突出。问题的原因 并不是系统开发出现失误,而是缺少整体规划,缺乏统一的用户登录平台,使用SSO技术可以解决以上这些问题。 一、使用SSO的好处主要有
(1)方便用户
用户使用应用系统时,能够一次登录,多次使用。用户不再需要每次输入用户名称和用户密码,也不需要牢记多套用户名称和用户密码。单点登录平台能够改善用户使用应用系统的体验。
(2)方便管理员
系统管理员只需要维护一套统一的用户账号,方便、简单。相比之下,系统管理员以前需要管理很多套的用户账号。每一个应用系统就有一套用户账号,不仅给管理上带来不方便,而且,也容易出现管理漏洞。
(3)简化应用系统开发
开发新的应用系统时,可以直接使用单点登录平台的用户认证服务,简化开发流程。单点登录平台通过提供统一的认证平台,实现单点登录。因此,应用系统并不需要开发用户认证程序。
二、实现SSO的技术主要有
(1)基于cookies实现,需要注意如下几点:如果是基于两个域名之间传递sessionid的方法可能在windows中成立,在 unix&linux中可能会出现问题;可以基于数据库实现;在安全性方面可能会作更多的考虑。另外,关于跨域问题,虽然cookies本身不跨 域,但可以利用它实现跨域的SSO。
(2)Broker-based(基于经纪人),例如Kerberos等;
这种技术的特点就是,有一个集中的认证和用户帐号管理的服务器。经纪人给被用于进一步请求的电子的身份存取。中央数据库的使用减少了管理的代价,并为认证 提供一个公共和独立的"第三方"。例如Kerberos、Sesame、IBM KryptoKnight(凭证库思想)等。
(3)Agent-based(基于代理)
在这种解决方案中,有一个自动地为不同的应用程序认证用户身份的代理程序。这个代理程序需要设计有不同的功能。比如, 它可以使用口令表或加密密钥来自动地将认证的负担从用户移开。代理被放在服务器上面,在服务器的认证系统和客户端认证方法之间充当一个"翻译"。例如 SSH等。
(4)Token-based,例如SecurID、WebID、
现在被广泛使用的口令认证,比如FTP,邮件服务器的登录认证,这是一种简单易用的方式,实现一个口令在多种应用当中使用。
(5)基于网关
Agent and Broker-based,这里不作介绍。
(6)基于安全断言标记语言(SAML)实现,SAML(Security Assertion Markup Language,安全断言标记语言)的出现大大简化了SSO,并被OASIS批准为SSO的执行标准。开源组织OpenSAML 实现了 SAML 规范,可参考http//www.opensaml.org。
三、SUN SSO技术
SUN SSO技术是Sun Java System Access Manager产品中的一个组成部分。
Sun 的新身份管理产品包括Sun Java System Identity Manager、Sun Java System Directory Server Enterprise Edition 和 Sun Java System Access Manager,以上三者为Sun Java Identity Management Suite (身份识别管理套件)的组成部分,它们与Sun Java Application Platform Suite、Sun Java Availability Suite、Sun Java Communications Suite、Sun Java Web Infrastructure Suite组成Java ES。具有革新意义的这一系列产品提供端到端身份管理,同时可与 60 多种第三方资源和技术实现互操作,集成产品可以从SUN公司网站下载,一般以Agent软件方式提供,是业内集成程序最高、最为开放的身份管理解决方案之 一。
在Sun 的新身份管理产品中,Sun Java System Access Manager是基中的一个重要组成部分,Java Access Manager基于J2EE架构,采用标准的API,可扩展性强,具有高可靠性和高可用性,应用是部署在Servlets容器中的,支持分布式,容易部署 且有较低的TCO。通过使用集中验证点、其于角色的访问控制以及 SSO,Sun Java System Access Manager 为所有基于 Web 的应用程序提供了一个可伸缩的安全模型。它简化了信息交换和交易,同时能保护隐私及重要身份信息的安全。
四、CAS 介绍
CAS(Central Authentication Service),是耶鲁大学开发的单点登录系统(SSO,single sign-on),应用广泛,具有独立于平台的,易于理解,支持代理功能。CAS系统在各个大学如耶鲁大学、加州大学、剑桥大学、香港科技大学等得到应 用。
Spring Framework的Acegi安全系统支持CAS,并提供了易于使用的方案。Acegi安全系统,是一个用于Spring Framework的安全框架,能够和目前流行的Web容器无缝集成。它使用了Spring的方式提供了安全和认证安全服务,包括使用Bean Context,拦截器和面向接口的编程方式。因此,Acegi安全系统能够轻松地适用于复杂的安全需求。Acegi安全系统在国内外得到了广泛的应用, 有着良好的社区环境。
CAS 的设计目标
(1)为多个Web应用提供单点登录基础设施,同时可以为非Web应用但拥有Web前端的功能服务提供单点登录的功能;
(2)简化应用认证用户身份的流程;
(3)将用户身份认证集中于单一的Web应用,让用户简化他们的密码管理,从而提高安全性;而且当应用需要修改身份验证的业务逻辑时,不需要到处修改代码。
CAS 的实现原理
CAS(Central Authentication Server)被设计成一个独立的Web应用。实现原理非常简单。

CAS创建一个位数很长的随机数(ticket)。CAS把这个ticket和成功登录的用户以及用户要访问的service联系起来。例如,如果用户 peon重定向自service S,CAS创建ticket T,这个ticket T允许peon访问service S。这个ticket是个一次性的凭证;它仅仅用于peon和仅仅用于service S,并且只能使用一次,使用之后马上会过期,即ticket通过验证,CAS立即删除该ticket,使它以后不能再使用。这样可以保证其安全性。
关于ST,在取一个ST时,即使用delete Ticket(ticketId)同时将一次性的ST删除;而对于TGT或PT,则通过reset Timer(ticketId)以更新TGT或PT的时间。在CAS服务端返回的ST中只能得出用户名。
另外,CAS3.0版本也已经发布了,现在最新的版本是3.03,希望CAS3.0在向下兼容的同时,更能向我们提供一些新东西。

SUN SSO 实现原理
SSO的核心在于统一用户认证,登录、认证请求通过IDENTITY SERVER服务器完成,然后分发到相应应用。
SUN SSO是java Access Manager的一个组成部分,SSO基于Cookie实现解释如下:
(1)Policy Agent on Web or Application Server intercepts resource requests and enforces access control;
(2)Client is issued SSO token containing information for session Validation with Session service.
(3)SSO token has no content- just a long random string used as a handle.
(4)Web-based applications use browser session cookies or URL rewriting to issue SSO token.
(5)Non Web applications use the SSO API(Java/c) to obtain the SSO token to validate the users identity.
SUN SSO 的应用
这里说的应用是指Sun Java System Access Manager的应用。成功应用例子很多,包括德国电信等公司的应用,国内也有大量高校在使用,也有相当多的其它行业的应用。
SUN SSO的开源
Sun 将发布其网络验证与网络单点登录技术,给一项新的开放源代码计划“Open Web Single Sign-On”(Open SSO)。OpenSSO网站位于: [url]https://opensso.dev.java.net/[/url] 。 该网站对OpenSSO的概述为:This project is based on the code base of Sun Java(tm) System Access Manager Product, a core identity infrastructure product offered by Sun Microsystems.
OpenSSO 计划的第一部份源代码,将于今年年底完成,基本的版本将于明年3月份发布,而完整的版本可能要等到明年五月份。Sun 采用与Solaris 操作系统相同的共同开发暨流通授权(Common Development and Distribution License)方式。
微醺_zZ
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
单点登录SSO
03-02
SSO是一种统一认证和授权机制,指访问同一服务器不同应用中的受保护资源的同一用户,只需要登录一次,即通过一个应用中的安全验证后,再访问其他应用中的受保护资源时,不再需要重新登录验证。解决了用户只需要登录...
基于Cookie的单点登录SSO系统介绍
weixin_34019144的博客
11-09 228
SSO的概念: 单点登录SSO(Single Sign-On)是身份管理中的一部分。SSO的一种较为通俗的定义是:SSO是指访问同一服务器不同应用中的受保护资源的同一用户,只需要登录一次,即通过一个应用中的安全验证后,再访问其他应用中的受保护资源时,不再需要重新登录验证。 SSO的用途: 目前的企业应用环境中,往往有很多的应用系统,如办公自动化(OA)系统,财务管理...
单点登录 SSO实现
国内某知名游戏公司小菜鸡工程师
07-08 3459
单点登录让你一次性解决多应用认证的繁琐
单点登录sso
weixin_44390164的博客
09-16 476
1. 具体流程 用户访问app1系统,app1系统时需要登录的,但现在用户没有登录 跳转到SSO登录系统SSO系统也没有登录,弹出用户登录页 用户提交账户密码,SSO系统进行认证后,将登录状态写入SSO的session(session存储在redis中),并给浏览器中写入SSO域下的Cookie(保存sessionId) SSO系统登录完成后会生成一个token。同时将token作为参数传递给app1系统(重定向中的参数) app1系统拿到token后,从后台向SSO系统发送请求,验证token
SSO单点登录方案大全
qq_43842093的博客
11-07 1343
分布式微服务系统主流常用的登录方案 前言: 单点登录其实是一个概念,主要是为了解决一次登录,多系统(本系统或外部系统)之间不需要重复登录的问题,就目前来说,主流的解决方案针对业务场景分为3个方向: 1: 同一公司,同父域下的单点登录解决方案. 如[http://map.baidu.com][[http://www.baidu.com][[http://image.baidu.com] 基于cookie开源项目代表: JWT;会详细介绍和实现; 2: 同一公司,不同域下的单点登录解决方案. 如[[http:/
单点登录SSO原理.docx
09-04
技术分享:单点登录SSO原理
sso单点登录ppt.ppt
10-30
sso单点登录ppt.ppt
sso单点登录
11-25
单点登录demo,包括客户端和服务器,分布式开发,maven管理
string模拟实现
m0_73969414的博客
04-23 1274
c++中string的模拟实现,面试必会知识点
javaweb-SpringBoot基础
kussm_的博客
04-20 1204
Spring的官网(Spring的简介:Spring makes Java simple。Spring Boot 可以帮助我们非常快速的构建应用程序、简化开发、提高效率。创建一个子包controller。
Java | 冒泡排序算法实现
yingzix688的博客
04-24 591
题目描述 编写一个Java程序实现冒泡排序算法。程序需要能够接收一个整型数组作为输入,并输出排序后的数组。 冒泡排序是一种简单的排序算法,它重复地走访过要排序的数列,一次比较两个元素,如果他们的顺序错误就把他们交换过来。走访数列的工作是重复地进行直到没有再需要交换,也就是说该数列已经排序完成。
JUC(java.util.concurrent) 的常见类
weixin_43497876的博客
04-20 1286
Callable 是一个 interface(类似之前的 Runnable,用来描述一个任务,但是没有返回值)也是描述一个任务的,有返回值。方便程序猿借助多线程的方式计算结果.创建线程计算 1 + 2 + 3 + ... + 1000, 不使用 Callable。
Java中如何实现minio文件上传
Keep__Me的博客
04-19 1260
前面已经在docker中部署了minio服务,那么该如何在Java代码中使用?这篇说下minio在Java中的配置跟使用。
VSCode配置Springboot开发环境
最新发布
谢公屐的博客
04-25 212
VSCode配置Springboot开发环境
RocketMQ案例实战
Romantic丶的博客
04-19 1053
假如是在同一个comsume组(consumeGroup1)里面,且topic定义的和生产者一样,之前订阅过生产者的消息,即已经注册到broker上面了,如上述有两个之前订阅过但是不在线,所以只有当消费者重启后会被消费:如果2个同时上线,则属于集群消费还是会被两个消费者均分,如果上线1个,则未消费消息将会被这一个全部消费掉。假如消费者是在同一个comsume组(consumeGroup1)里面,但是topic和生产者定义不一样,则意味着没订阅,此时即使生产者生产了消息,也不会被消费。
SpringBoot基于redis zset实现滑动窗口限流
爱码猿的博客
04-19 622
*** 窗口时间*//*** 窗口时间内允许访问次数*//*** 时间单位*/@Component@Aspect@Autowired//我们自己实现的滑动窗口限流/*** 调用我们写的工具类判断是否超过阈值*/if(limit){throw new RuntimeException("限流");/*** 如果使用了Redisson,可以直接使用令牌桶来实现限流*/// 1、 声明一个限流器// 2、 设置速率,5秒中产生3个令牌。
专项技能训练五《云计算网络技术与应用》实训6-1:安装OpenDayLight控制器
艾泽拉斯科技屋
04-24 927
实验前准备:编辑虚拟机网络配置,使VMnet8处在192.168.10.0网段,VMnet1处在192.168.1.0网段。
springboot单点登录sso
09-23
springboot单点登录SSO)是一种身份验证和授权机制,允许用户在多个应用程序中使用相同的凭据进行登录。通过SSO用户只需登录一次,就可以在不同的应用程序之间共享身份验证信息,从而提供了更好的用户体验和便利性。 在springboot中实现SSO单点登录可以通过集成不同的安全框架和身份提供者来实现。一种常见的做法是使用Spring Security框架和KeyCloak身份提供者。 具体实现步骤如下: 1. 集成Spring Security和KeyCloak依赖库,并在配置文件中配置KeyCloak的相关信息。 2. 创建一个登录接口,该接口会被Spring Security拦截,并将用户重定向到KeyCloak的登录页面。 3. 用户在KeyCloak登录成功后,会返回一个包含用户信息的Token。 4. 在登录接口中,通过解析Token获取用户信息,并进行相应的处理,例如保存用户信息到Session中或生成新的Token返回给前端。 5. 在其他需要身份验证的接口中,可以使用Spring Security提供的注解来实现访问控制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值