浅析单点登录

最新推荐文章于 2023-06-30 13:59:11 发布
最新推荐文章于 2023-06-30 13:59:11 发布
阅读量275 收藏
点赞数
分类专栏: 单点登录 文章标签: 数据库 加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ntuyzy870/article/details/6977773
版权
所谓单点登录就是一个合法的系统漏洞


A系统想去登录B系统那么要怎么办?


1.b系统中留有一个后门,让A来登录使用。
      好,这样b系统就给a留了后门,a也可以登录进来了,但是b要确认,你是a吗?
      所以要做验证,那么下面就有一个问题,如何验证?


2.那么a就 发送一串加密后的字符串给b系统,同时在a的数据库中插入这个数据,b再解压a的数据,然后去a的数据库中查询这个数字是否存在
      如果存在,就证实是a系统了
      下面又有问题了,a的人进去了,但是什么权限都没有,那么a进去也没有用啊,怎么办呢,如何让a进去能带有权限呢?


3.那就在b系统中维护一个表,就是a系统中的用户名和b系统的用户名的一个对应表,然后a的用户名同时也跟加密数据一起传给b,
      在b对啊完成认证之后,就用a传来的用户名去查出对应的原来在b系统中的用户名,然后用b原来的用户名登陆系统,这样就完成单点登录了。
ntuyzy870
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sso登陆劫持漏洞(单点登录劫持,低危)
墨痕诉清风的博客
10-15 3894
如果使用以下token,再次访问http://abc.com.test/Account/Login,可以发现已经登陆。这里可以理解为,门卫不知道你是谁,然后让你去某某处盖章,你去盖章完成后回到门卫处,门外验证红章没问题就让你通过。sso设计目的是简化登陆方式,可能有很多系统,但是多个系统都是一个机构的,每个系统每次都要分别登陆就很复杂。提交后,网页提示无法连接abc.com.test,并且抓取到了一段数据包,包含了登陆成功的token。sso单点登陆,用户一次登陆,所有系统都可访问。...
单点登录的原理、来源、实现、以及技术方案比较(一)
青鸟飞鱼
09-12 3万+
目录 为什么需要单点登录 单点登录的来源 1.早期的单机部署:web单系统应用 2.分布式集群部署 单点登录的原理和实现 1.基于Cookie的单点登录 2.分布式session方式实现单点登录 总结: 转载自:http://youzhixueyuan.com/the-principle-implementation-and-technical-scheme-of-single-...
SSO:单点登录
weixin_33991418的博客
10-10 280
2019独角兽企业重金招聘Python工程师标准>>> ...
腾讯单点登录系统跨域劫持漏洞
swordheart的博客
04-16 4690
漏洞详情 披露状态: 2010-07-27: 细节已通知厂商并且等待厂商处理中 1970-01-01: 厂商已经确认,细节仅向厂商公开 1970-01-11: 细节向核心白帽子及相关领域专家公开 1970-01-21: 细节向普通白帽子公开 1970-01-31: 细节向实习白帽子公开 2010-08-26: 细节向公众公开 简要描述: 腾讯单点登录系统在安全架构上存在安全缺陷,黑客可以轻易通过一些漏洞跨域劫持单点登录系统,从而获取客户端QQ所有相关服务的权限。 详细说明: QQ的快速登录插件的
理解这10个安全漏洞,你也能做安全测试!
06-30 363
01短信炸弹,1、漏洞描述,短信轰炸攻击是常见的一种攻击,攻击者通过网站页面中所提供的发送短信验证码的功能处,通过对其发送数据包的获取后,进行重放,如果服务器短信平台未做校验的情况时,系统会一直去发送短信,这样就造成了短信轰炸的漏洞。 2、渗透测试,手工找到有关网站注册页面,认证页面,是否具有短信发送页面,如果有则进行下一步。通过利用burp或者其它抓包截断工具,抓取发送验证码的数据包,并且进行重放攻击,查看手机是否在短时间内连续收到10条以上短信,如果收到大量短信,则说明存在该漏
MaxKey单点登录认证系统3.5.12发布,重要漏洞修复
12-27 934
MaxKey单点登录认证系统,谐音马克思的钥匙寓意是最大钥匙,是业界领先的IAM/IDaas身份管理和认证产品,支持OAuth 2.x/OpenID Connect、SAML 2.0、JWT、CAS、SCIM等标准协议,提供安全、标准和开放的用户身份管理(IDM)、身份认证(AM)、单点登录(SSO)、RBAC权限管理和资源管理等。官方网站官网|官网二线1054466084代码托管Gitee|GitHub。
深入浅析C#中单点登录的原理和使用
12-31
什么是单点登录? 我想肯定有一部分人“望文生义”的认为单点登录就是一个用户只能在一处登录,其实这是错误的理解(我记得我第一次也是这么理解的)。 单点登录指的是多个子系统只需要登录一个,其他系统不需要...
浅析权限管理系统中单点登录
09-12
其中,单点登录(Single Sign-On,简称SSO)是权限管理领域的一项核心技术,它极大地提升了用户体验和管理效率。本文将深入探讨单点登录在权限管理系统中的应用及其优势。 单点登录允许用户只需一次登录,就可以...
浅析数据库程序的单元测试[5]
03-23
浅析浅析数据库程序的单元测试[5]软件测试另一个技巧是,如果你有一个本地测试数据库,测试程序能通过提供IP地址或主机名进行检测。如果不是“localhost/127.0.0.1”,这就有连接在实际使用...请注意以下几点。 首
Perl脚本中单元测试自动化浅析
01-31
随着敏捷开发模式的流行,如何快速高效地适应不确定或经常性变化的需求显得越来越重要。要做到这一点,需要在开发过程的各个阶段引入足够的测试。而其中单元测试则是保证代码质量的第一个重要关卡。...
单点登录的三种实现方式
远古大猛犸
01-19 1万+
单点登录SSO(Single Sign On)说得简单点就是在一个多系统共存的环境下,用户在一处登录后,就不用在其他系统中登录,也就是用户的一次登录能得到其他所有系统的信任。单点登录在大型网站里使用得非常频繁,例如像阿里巴巴这样的网站,在网站的背后是成百上千的子系统,用户一次操作或交易可能涉及到几十个子系统的协作,如果每个子系统都需要用户认证,不仅用户会疯掉,各子系统也会为这种重复认证授权的逻辑搞
2019年值得关注的五大微服务发展趋势
zhuguanghalo的博客
02-13 1586
2018年对于DevOps社区来说无疑是重要的一年。Kubernetes成为第一个从云原生计算基金会(简称CNCF)毕业的项目;Pivotal公司完成了首轮公开募股;HashiCorp以19亿美元成为独角兽公司;VMware以近6亿美元价码收购Heptio等等。这一系列事件的出现,再次强调了DevOps浪潮的重要意义。 去年1月,我们发布的微服务发展趋势预测涵盖了Service Meshes、事...
sso单点登录解决方案收集
胡杰的专栏
11-26 4808
sso单点登录解决方案收集,适用于主域不同的情况
struts1的运行原理(用户登录验证时序图)
abc7845129630的博客
04-18 4529
Part 1 struts1的运行原理              以用户登录验证来举例说明 :          1、web浏览器发出动作后先从c:\windows\system32\drivers\etc文件夹的hosts文件是否配置对于得url,否则去找DNS           2、web服务器接收到http登录请求,按http协议解析,得到url,web应用名,资源名和配置后
单点登陆的测试
weixin_30588907的博客
09-04 1124
今天做了个单点登陆 。 但是怎么测试呢? 下面请看详解: 源码中是这样的: /** * 单点登录改造 * * @param request * @param response * @return * @throws IOException * @throws HttpException ...
单点登录之CAS原理和实现
热门推荐
金玉良缘
11-14 10万+
1.开源单点登录系统CAS入门1.1 什么是单点登录单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。我们目前的系统存在诸多子系统,而这些子系统是分别部署在不同的服务器中,那么使用传统方式的session是无法解决的,我们需要使用相关的单点登录技术来解决。1.2 什
单点登录CAS测试
qq_40611260的博客
05-17 3555
知识点:SSO:单点登录(Single Sign On),是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。CAS:耶鲁大学开发的单点登录(Single Sign On)系统称为CAS(Central Authentication Server),他是一个开源的、相对比较简单易用的SSO解决方案。SSL(Secure S...
threadlocal浅析
最新发布
09-13
ThreadLocal 是 Java 中的一个类,它提供了一种线程局部变量的机制。线程局部变量是指每个线程都有自己的变量副本,每个线程对该变量的访问都是独立的,互不影响。 ThreadLocal 主要用于解决多线程并发访问共享变量时的线程安全问题。在多线程环境下,如果多个线程共同访问同一个变量,可能会出现竞争条件,导致数据不一致或者出现线程安全问题。通过使用 ThreadLocal,可以为每个线程提供独立的副本,从而避免了线程安全问题。 ThreadLocal 的工作原理是,每个 Thread 对象内部都维护了一个 ThreadLocalMap 对象,ThreadLocalMap 是一个 key-value 结构,其中 key 是 ThreadLocal 对象,value 是该线程对应的变量副本。当访问 ThreadLocal 的 get() 方法时,会根据当前线程获取到对应的 ThreadLocalMap 对象,并从中查找到与 ThreadLocal 对象对应的值。如果当前线程尚未设置该 ThreadLocal 对象的值,则会通过 initialValue() 方法初始化一个值,并将其存入 ThreadLocalMap 中。当访问 ThreadLocal 的 set() 方法时,会将指定的值存入当前线程对应的 ThreadLocalMap 中。 需要注意的是,ThreadLocal 并不能解决共享资源的并发访问问题,它只是提供了一种线程内部的隔离机制。在使用 ThreadLocal 时,需要注意合理地使用,避免出现内存泄漏或者数据不一致的情况。另外,由于 ThreadLocal 使用了线程的 ThreadLocalMap,因此在使用完 ThreadLocal 后,需要手动调用 remove() 方法清理对应的变量副本,以防止内存泄漏。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值