单点登录与安全

最新推荐文章于 2023-12-29 07:47:32 发布
最新推荐文章于 2023-12-29 07:47:32 发布
阅读量1.6k 收藏
点赞数
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_24381917/article/details/106315262
版权

以下内容学习自<<白帽子讲Web安全>>

单单登录的英文全称是Single Sign On,简称SSO。它希望用户只登录一次,就可以访问所有系统,从用户无疑让用户使用更加的方便,从安全的角度看,SSO把风险集中在单点上,这样做有好处也有坏处

SSO的优点在风险集中化,如果每个系统各自实现登录功能,由于各系统的产品需求,应用环境,开发工程师水平有差异,登录功能的安全标准难以统一,SSO解决了这个问题,它把用户登录的过程集中在一个地方,这样可以使用多因素认证或者将安全设计交给可靠的第三方

SSO的缺点就是风险集中了,一旦被攻破后,后果非常严重,影响的范围将涉及所有使用单点登录的系统,降低风险的方法是在一些敏感的系统里面,增加一些额外的认证机制,如支付的时候再输一次密码或者通过手机短信验证码验证认证方式

目前互联网上最为开放和流行的单点登录系统是OpenID,OpenID是一个开放的单点登录框架,它希望使用URI来作为用户在互联网上的身份标识,每个用户将拥有一个唯一的URI,在用户登录系统的时候,只需要提交他的OpenID(用户唯一的URI)和OpenID的提供者,网站就会将用户重定向到OpenID的提供者进行认证,认证完成后再重定向回网站

但是OpenID模式仍然存在一些问题,OpenID的提供者服务水平有高有低,作为OpenID的提供者,一些网站中断服务或者关闭,都将给用户带来很大不便

qq_24381917
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
单点登录安全网关实践.pptx
10-13
单点登录安全网关实践.pptx
单点登录的相关问题
weixin_42546299的博客
02-21 1587
为什么需要单点登录? 1)提高用户效率 原因:用户不必为多次登录而困扰,用户不必记住很多id和密码,用户忘记密码并求助支持人员的情况减少 2)提高开发人员效率 原因:sso为开发人员提供了一个通用的身份验证框架,实际上sso机制是独立的,开发人员不必为了身份验证而操作,只需对应用程序的请求附带一个用户名,身份验证即可完成 3)简化配置 原因:如果应用程序加入了单点登录协议,应用管理账号的负担就会减轻,简化配置的程度取决于应用程序,因为sso只处理身份验证,因此,应用程序仍然可能需要设置用户属
单点登录Cas如何保证客户端的安全
numbbe的博客
01-07 1874
目录同花顺已经有TGC了,为什么还需要STCas如何保证客户端的安全性Cookie的安全性 同花顺 在一篇博客下边,我看到了这样一句话(如下图): 这个使用redis就能实现吧,把用户的信息放在redis里面,当用户访问其他系统时直接从redis里面获取是否有该用户信息,有则放行,没有则跳转到登录页面。 随后我就毫不留情的开喷,你咋不说放到随便一个tomcat中也可以实现呢,确实也可以啊。只要是个服务器都能用于存放用户信息。 Cas解决的是存放用户信息的问题吗,还真是。(尬.jpg) Cas占据了SSO领
引入单点登录,需要考虑哪些问题
vagerdwely的博客
03-30 1942
单点登录(single sign-on,SSO)提供了一种简单但安全的身份验证过程,不再要求员工每天输入密码。它使用户可以选择一组凭据来访问多个帐户和服务。那么,组织如何才能最好地将SSO用于其目的呢? 该身份验证方案在专用SSO策略服务器的协助下工作。当用户尝试进行身份验证时,服务器会将用户的凭据发送回应用程序上的代理模块。SSO还根据已批准的用户列表验证用户的身份。通过这种方式,该服务可以跨所有账户和应用程序对用户进行身份验证。随后,当用户再次尝试访问这些范围内的帐户和应用程序时,它将不需要验证密..
使用单点登录 (SSO):便捷访问,降低风险,精简流程
OneAuth身份云
07-25 682
如OA办公自动化系统,HR人力资源管理系统,企业ERP系统,企业BBS系统等,这些系统有着自己独立的用户认证模块和机制,用户不得不记住每一个系统的登录账号和密码,并且在使用不同的系统时,必须重复登录,给用户带来了很大的不便,而且对用户信息也没有一个很好的统一管理,使得维护用户信息变的比较困难。但是对于客户的单点登录需求,OneAuth提供了另外一种实现的方式。为了满足企业云时代不断增长的业务系统的访问需求,减少员工的账号管理工作,避免重复登录,实现一个账号多个系统同时登录,我们下面讲讲什么是单点登录?...
前端处理单点登录问题
yt412182782的博客
04-12 570
前言   这里主要讲解什么是单点登录以及前端如何实现单点登录。但注意单点登录并不安全,因为只要数据在前端,不管你怎么加密,都只是相对安全,而非绝对安全,你用cookie和session安全级别都差不多,都很容易被攻击。所以做单点登录的系统,就不要出现很重要的信息,或是要做很重要的信息修改或获取时,得再进行一次安全验证。   另外推荐一个前端加密的文章,内容相对比较全,有兴趣可以看看https://mp.weixin.qq.com/s/V-g2P42t8EJDl-wFhWxSUQ 什么是单点登录..
单点登录(SSO)安全问题单点登录系统的安全性未得到充分保障
最新发布
ZOMO的博客
12-29 981
SSO 技术通常会将多个应用的认证信息存储在一个集中的认证中心中供其他关联的应用调用这种信息共享的方式虽然可以提高用户体验但也存在一定的风险性 . 如果认证中心的数据库被黑客攻破将会导致用户的认证信息和隐私信息全部泄漏甚至可能还会波及到其他关联的应用和服务从而带来更大的危害和影响. 因此, 我们需要对 SSO 中的认证数据进行有效的保护和管理, 避免过多的信息共享给应用程序带来不必要的风险和损失.要安装的服务器或虚拟机无法连接互联网的情况可以进行离线安装,离线安装请通过以下链接下载离线安装包。
单点登录与权限管理本质:cookie安全问题
AzulSystems的博客
03-19 719
单点登录(Single Sign On, SSO)是一种允许用户仅使用一组登录凭据(例如,一个用户名和密码)登录,从而可以安全地认证多个应用程序的系统。使用 SSO,用户尝试访问的应用程序或网站依赖于受信任的第三方来验证用户身份。一个例子就是你每天要用的谷歌的在线应用套件。
盘点单点登录问题的那些解决方案
yang1fei2的博客
12-03 2583
随着公司的业务增长,公司内会出现各种各样的办公系统,财务有财务系统,人力有人力系统,行政也有自己的系统。由于之前没有统一的规划和设计,各个系统都有自己的账号体系。庞大和复杂的账号体系,会给管理上带来严峻的挑战,同时也面临着安全风险。针对这些问题引入单点登录机制,解决多系统账号体系的管理问题
安全威胁」08单点登录安全网关实践 - 系统安全.zip
12-04
安全威胁」08单点登录安全网关实践 - 系统安全 网络安全 攻防靶场 网络安全 安全实践 防火墙
单点登录SSO
03-02
SSO是一种统一认证和授权机制,指访问同一服务器不同应用中的受保护资源的同一用户,只需要登录一次,即通过一个应用中的安全验证后,再访问其他应用中的受保护资源时,不再需要重新登录验证。解决了用户只需要登录...
单点登录视屏讲解——.exe
06-14
单点登录视屏讲解。
单点登录与网络安全实践-猪八戒安全负责人.pdf
07-04
单点登录(Single Sign On),简称为SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问 所有相互信任的应用系统
使用token机制来验证用户的安全性-b
weixin_34088838的博客
07-14 4227
登录的业务逻辑{    http:是短连接.         服务器如何判断当前用户是否登录?        // 1. 如果是即时通信类:长连接.    // 如何保证服务器跟客户端保持长连接状态?         // "心跳包" 用来检测用户是否在线!用来做长连接!   http:短连接使用token 机制来验证用户安全性         // token 值: 登录令牌! 用来...
什么是单点登录(SSO)?单点登录的好处、局限以及实施
m0_74363626的博客
10-20 2538
随着越来越多的重要业务功能向数字平台转移,黑客入侵网络和系统的事件成倍增加。企业大多使用用户名和密码来保护系统不被入侵,但如果密码很弱,攻击者就极易破坏这些系统。为了解决这个问题,一个常见的办法是要求用户定期更改密码,并使用数字、大小写字母和特殊符号的组合来创建复杂密码。但其实这个办法并不是创建更安全的密码,而是制造人们难以记住但黑客容易破解的密码。
如何安全的实现单点登陆
未来工厂的博客
12-13 471
思考问题:如何安全的实现单点登陆? 单点登陆:通常指的是1个用户仅可在1个设备上登陆系统 。这里要排除的情况,PC上虚拟机的使用、移动设备上双开或多开设备的使用。 如何实现? 仅可在1个设备上登录。只需要在设备应用用户第一次登录的时候,系统后台为此用户分配唯一ID标识,便可以实现。用唯一ID标识做系统逻辑,当此用户有再次做登录时,驳回当次登录操作,提示该用户已登录系统并提示其做其它操作(如提示修改密码、允许其它设备此次登录)。 如何确保它是安全的? 唯一ID,与sessionid机制类似,故可确保它的安全
SSO单点登陆问题
qq_45132844的博客
09-08 346
首先是我要到授权中心,是授权中心给我颁发token,然后我前端有这个token,访问其他微服务只要tokn可以被解析,就表明用户登陆没有问题。例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。为了保证客户端cookie的安全性,服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。无状态登陆:微服务集群中的每个服务,对外提供的都是Rest风格的接口。
cas 单点登录安全审计
08-30
在进行CAS单点登录安全审计时,可以考虑以下几个方面: 1. 认证流程审计:审查CAS服务器与客户端应用程序之间的认证流程,包括用户发送认证请求、CAS服务器验证用户身份、CAS服务器生成并返回票据等步骤,确保认证...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值