sso 安全方案

最新推荐文章于 2023-11-05 21:54:42 发布
最新推荐文章于 2023-11-05 21:54:42 发布
阅读量1.1k 收藏
点赞数
文章标签: 架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aibisoft/article/details/39397765
版权

目的

为Lifeix所有应用的和客户端的交互提供数据安全解决办法。

适用范围

所有Lifeix应用。

内容

 

一、整体功能架构



说明:

1、Security Center主要提供对称密匙、对称密匙的版本化管理、对称密匙过期 和 统一的时间戳(即Lifeix时间戳,防止个各应用之间、客户端和服务器之间 的时间戳不一致)。

2、app需要根据版本号更新对称密匙,app获取对称密匙时需要使用非对称密匙对请求参数进行签名、对Security Center 返回的数据进行解密

3、各后台应用系统需要向Security Center 更新 对称密匙,并进行本地化存储,防止给SecurityCenter 造成太大的压力

4、数据的非对称加密解密、对称密匙的生成、对称解密解密、签名验证 等业务由commons.security 提供,后台应用系统需要依赖此二方库

二、组件架构




1、各应用的私钥需要使用mysql进行持久存储,而且需要做主备,该数据100%不可以丢失和泄露

2、公钥的生命周期在一天左右,需要频繁更换,所以只需要放在Cache中进行临时存储,该cache也要求高可用,不可以丢失数据

3、Security Center 需要提供http服务和dubbo 服务,http服务用户客户端更新对称密匙,dubbo服务用于业务系统获取对称密匙

 

三、主要业务流程

1、App想Security Center获取对称密匙业务流程



说明:

1、app会存储非对称密匙的公钥

2、app在向Security Center 获取对称密匙的时候需要使用非对称密匙的公钥对请求参数进行签名,用于表明是合法请求

3、app在拿到Security Center 返回的对称密匙后需要用非对称密匙的公钥解密数据方可拿到对称密匙的明文。

4、

 

2、app使用对称密匙进行签名、加密参数、解密数据业务流程




说明:

1、客户端拿到对称密匙后其可能过期,需要重新走"App想Security Center获取对称密匙业务流程”的业务流程更新对称密匙

2、各业务系统需要向Security Center 获取对称加密密匙后进行本地化存储,只在对称密匙过期后需要更新对称密匙的时候才需要和Security Center进行交互

3、后台业务系统在收到客户端的请求后需要对当前请求的签名进行验证,还需要验证lifeix时间戳是否在有效期内

4、对需要加密的返回数据进行对称解密后返回客户端

 

四、领域模型



系统私钥需要持久化存储。

对称密匙因为会经常过期需要更换不需要持久存储,可以根据 ”统名称+版本号“ 存放在cache中,并设置合适的过期时间。

艾比aibi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sso登陆劫持漏洞(单点登录劫持,低危)
墨痕诉清风的博客
10-15 3913
如果使用以下token,再次访问http://abc.com.test/Account/Login,可以发现已经登陆。这里可以理解为,门卫不知道你是谁,然后让你去某某处盖章,你去盖章完成后回到门卫处,门外验证红章没问题就让你通过。sso设计目的是简化登陆方式,可能有很多系统,但是多个系统都是一个机构的,每个系统每次都要分别登陆就很复杂。提交后,网页提示无法连接abc.com.test,并且抓取到了一段数据包,包含了登陆成功的token。sso单点登陆,用户一次登陆,所有系统都可访问。...
单点登录(SSO安全问题:单点登录系统的安全性未得到充分保障
最新发布
ZOMO的博客
12-29 1136
SSO 技术通常会将多个应用的认证信息存储在一个集中的认证中心中供其他关联的应用调用这种信息共享的方式虽然可以提高用户体验但也存在一定的风险性 . 如果认证中心的数据库被黑客攻破将会导致用户的认证信息和隐私信息全部泄漏甚至可能还会波及到其他关联的应用和服务从而带来更大的危害和影响. 因此, 我们需要对 SSO 中的认证数据进行有效的保护和管理, 避免过多的信息共享给应用程序带来不必要的风险和损失.要安装的服务器或虚拟机无法连接互联网的情况可以进行离线安装,离线安装请通过以下链接下载离线安装包。
安全单点登录(SSO)解决方案
运维有小邓
12-26 427
ADSelfService Plus使用users’用于身份验证的Windows Active Directory中的现有身份。这节省了原本用于为用户设置新身份的时间,也消除了对存储额外密码的密码库工具的依赖。
SSO解决方案大全
topMan'blog
05-17 212
 Sun已经通过官方宣布将开放一个身份管理系统的代码,改身份管理系统为Dubbed OpenSSO (Open Web Single Sign-On),Dubbed OpenSSO产品是一套工具,利用改工具企业能够创建一个统一的授权和session管理框架,以至于连接不同类型的基于Web的和基于Java的应用程序。     Dubbed OpenSSO软件要求J2EE应用服务器,但是为了便携特性...
SSO项目介绍.docx
09-04
SSO(Single Sign-On,单点登录)是一种身份验证...总之,SSO技术是现代企业信息化建设中的重要组成部分,它通过整合认证过程,提高了用户体验,简化了系统管理,同时也为企业提供了更高效、更安全的身份验证解决方案
SSO解决方案
12-04
SSO(Single Sign-On)解决方案是一种身份验证机制,允许用户在一个应用系统中登录后,无需再次登录即可访问其他相互信任的应用系统。这种技术在多应用环境中极大地提高了用户体验,减少了用户记忆多个账号和密码的...
一个sso的解决方案
04-07
在本方案中,我们将探讨如何实现一个基于Redis的SSO解决方案。 首先,我们需要理解SSO的工作原理。SSO的核心是中央认证服务(CAS),它负责处理用户的登录请求并生成一个安全的票据(Ticket Granting Ticket, TGT)...
统一认证单点登录系统SSO解决方案.doc
09-06
单点登录(Single Sign-On,简称SSO)是一种网络...综上所述,统一认证单点登录系统SSO解决方案是一种高效、安全、灵活的方法,能够有效应对企业环境中多系统登录的挑战,提升用户满意度,同时便于系统的管理和扩展。
SSO单点登录解决方案.doc
09-04
SSO(Single Sign-On)单点登录是一种身份验证机制,允许...总的来说,SSO单点登录解决方案是现代企业IT环境中必不可少的组件,它提升了用户便利性,降低了管理成本,加强了安全性,并适应了SOA环境下的服务安全需求。
sso 加密
zzzzzz55300411的博客
09-27 297
[code="java"]package com.citi.test; import java.io.File; import java.io.FileInputStream; import java.io.IOException; import java.security.KeyStore; import java.security.PrivateKey; import jav...
应用安全四十二:SSO安全
jimmyleeee的专栏
11-05 761
本文主要是通过介绍SSO的标准和工作原理,以SAML为例子介绍了可能遇到的安全问题以及如何预防。
SSO安全的实现方式
weixin_44407691的博客
09-26 389
页面重定向的方式 通过父应用和子应用来回重定向中进行同行,实现信息的安全传递. 父应用提供一个GET方式的登录接口,用户通过子应用重定向连接的这个方式的访问这个接口,如果用户还没有登录,则返回一个的登录页面,用户输入账号密码进行登录,如果用户已经登录,则生成加密的Token,并且重定向到子应用提供的token的接口,通过解密和校验之后,子应用登陆当前用户. 这种方式比较前面两种方式,解决了上面两...
asp.net 统一认证及单点登录平台解决方案系列<一>
dicongtan5700的博客
01-12 1201
1 概述 1.1 传统独立系统带来的问题 1.2 统一认证和单点登录平台的优势 1.3 目的 1.4 术语 2 单点登录的三种模式 2.1 基于统一认证平台模式 2.2 基于共享密钥的协议登录 2.3 基于自配置的模拟登录 3 模式选型 ...
如何开始软件安全性-第2部分
danpu0978的博客
04-18 66
上次,我写了一篇关于组织如何开始软件安全性的文章 。 今天,我将作为一个个体来探讨如何做到这一点。 从开发到安全开发 作为开发人员,我并不总是意识到我的行为对安全性的影响。 现在我是我的项目的工程安全冠军,我必须成为。 这不是一个容易的过渡。 安全领域广阔,我几乎每天都在学习新知识。 我读了一些书上的安全性 ,其中一些我回顾这个网站 。 作为一个有抱负的软件工匠 ,我意识到个人的努...
使用SSO增强身份安全性的四个原因
vagerdwely的博客
03-03 336
尽管人们普遍认为“外围设备已经过时”,但当前的现实迫使许多组织以比计划更快的速度改进其安全方法。 传统的防火墙和基于VPN的安全模型根本不是为了保护当今高度分布式的IT环境而构建的。随着企业采用云和混合基础架构,越来越多的SaaS应用程序鼓励员工远程工作,很明显,身份确实是唯一真正的边界。如今,有效的企业安全取决于能否安全地管理和验证身份,并控制每个人员,应用程序和机器(无论它们在网络范围之内还是之外)的特权访问。在当今的环境中,根据身份,所有身份都可以在特定条件下获得特权,这取决于他们访问的系统、环境..
SSO单点登录在互联网电商应用中的解决方案(基于CAS的改造)
热门推荐
云计算、分布式架构、K8S、大数据、机器学习、搜索、推荐、广告
10-24 1万+
电商平台中无论是前端还是后端会存在大量的业务应用,在整个交易的过程中请求是在各个业务应用中流转的,对于用户来讲只需要登录一次就可以访问所有的业务,这就是单点登录SSO。 单点登录开源有很多的解决方案,比如基于session的SSO和基于cookie的SSO。 业界使用比较多的基于session的SSO的开源解决方案比如CAS,流程示意图如下: 这里不去详细说明流程,读者可以参考其他资料的
单点登录(SSO)实战,基于非对称加密双向RSA + AES加密
weixin_44951037的博客
11-15 2755
文章目录前言非对称性加密,双向加密(RSA+AES)单点登录(SSO)解决方案 前言 关于单点登录(SSO)网上也有很多帖子,但是以我个人的角度来看,大多都是一知半解,看完一圈也还是懵的,而且基本上都是理念,实实在在的去实践的基本上没有,而且内容基本上就是一模一样,这篇文章给大家也是提供一个单点登录的解决方案,至少看完和实践完之后,你知道大概怎么去实现,我这种实现方案也只适用于两个服务之间的通信登录,但是我认为哪有那么多的大型服务通信,又不是人人项目皆淘宝 非对称性加密,双向加密(RSA+AES) 本文
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值