CAS
文章平均质量分 68
爱琴孩
扫盲+科普+解惑,愿天下程序员每天少掉头发
展开
-
利用Cas中service重定向钓鱼网站问题
今天运维反馈现网有个系统service=存在重定向钓鱼网站的安全漏洞。熟悉Cas实现单点登录的都知道,通过service参数,在Cas认证中心登录认证之后重定向到service对应的业务系统。但是Cas本身没有对service进行校验,所以就有别有用心之人,通过在service后面配置一些钓鱼网站。这样就会实现,从你的网站跳转到钓鱼网站。原创 2024-03-27 22:46:36 · 328 阅读 · 0 评论 -
单点登录那些事
前言最近和同事讨论了一些关于单点登录的问题,发现对单点登录的理解还是不够深入,所以有必要总结一下了,刚开始接触单点登录的时候,觉得这技术好高大上。他的原理是多么的深不可测,后来经过多次接触发现单点登录果然还是一如既往的难,完全不懂啊!哈哈。。。。只是个玩笑!莫怕,这里和大家一起来总结一下sso单点登录,彻底理解什么是单点登录。单系统登录http协议的无状态 不管是刚接触java的萌新,还是在web开发中驰骋多年的老油条。想必大家都知道http是无状态的,web服务都是通过http协议在客户端和原创 2022-04-09 17:49:53 · 143 阅读 · 0 评论 -
记一次现网CAS服务切换域名上线失败
前言前段时间,现网集成SSO的几个服务由于一些因素需要切换域名,本来以为很简单的事,实际上线却出了点问题,导致了这次上线失败,上线失败主要原因是新替换的域名,生成环境访问不了,这里借着这次上线失败,再和大家一起捋捋CAS。CAS在跨网场景下重定向使用CAS登录的过程中会涉及到三次重定向,如果在同一个局域网内,是没有任何问题的,但如果涉及到跨网访问(如内网部署、外网访问)就有问题了:如下图两个红五角星处,外网浏览器要访问的登录页面IP和内网做ticket验证的IP,对cas客户端来说是同一原创 2022-04-09 16:53:54 · 1932 阅读 · 0 评论 -
单点登录那些事
前言最近和一个同事讨论了一些关于单点登录的问题,发现对单点登录的理解还是不够深入,所以有必要总结一下了,刚开始接触单点登录的时候,觉得这技术好高大上。他的原理是多么的深不可测。。。。后来经过多次接触发现单点登录果然还是一如既往的难,完全不懂啊!哈哈。。。。只是个玩笑!莫怕,这里和大家一起来学习总结一下sso单点登录,这里将由浅入深,彻底理解什么是单点登录。单系统登录http协议的无状态 不管是刚原创 2017-11-12 15:33:56 · 943 阅读 · 0 评论 -
CAS简单小demo搭建
前言对于SSO,想必大家都知道大致的概念,之前有一个项目中需要集成大概十几个的子系统,在单点登录思想出现之前,我们每次需要点击系统中集成的子系统,我们都需要登录。显然对于客户而言这是很不友好的。因为这样客户需要在每个子系统中注册自己的用户信息,然后每次使用系统的时候再重新登录一次。所以就引出了SSO的概念,而其中基于CAS的SSO方案是现在比较流行的,之前顶级域名上设置共享cookie的方案是...原创 2018-10-23 22:37:52 · 2205 阅读 · 0 评论