cas 登录之后不跳转_信息安全中单点登录的应用

最新推荐文章于 2024-02-07 07:56:14 发布
最新推荐文章于 2024-02-07 07:56:14 发布
阅读量303 收藏
点赞数
文章标签: cas 登录之后不跳转 cas登录成功后不跳转成功页面 jwt单点登录

0eee606f7a757549a747bf7da817b725.png

单点登录如何解决身份认证问题?

那么单点登录(Single Sign On,SSO)到底是什么呢?单点登录的概念很简单:用户只需要进行一次认证,就可以访问所有的网页、应用和其他产品了。随着互联网产品形式的不断发展,单点登录的实现方式也经历了多次的升级革新。下面我为你介绍几种典型的单点登录方式,它们分别是:CAS 流程、JWT、OAuth 和 OpenID。

第一个要讲的是 CAS(Central Authentication Service,集中式认证服务)流程。

CAS 是一个开源的单点登录框架,它不属于某一种单点登录的实现方式,而是提供了一整套完整的落地方案。整体的流程如下图所示,具体步骤我会通过访问极客时间 App 的例子来为你详细讲解。

66484b2ad178ddefe8460a48d842fc16.png
  1. 假如用户现在要访问某个应用,比如知乎APP。
  2. 应用需要进行认证,但应用本身不具备认证功能。因此,应用将用户重定向至认证中心的页面。比如,你在登录一个应用的时候,它显示你可以选择微信、QQ、微博账号进行登录,你点击微信登录,就跳转至微信的登录页面了。
  3. 用户在认证中心页面进行认证操作。如果用户之前已经在其他应用进行过认证了,那么认证中心可以直接识别用户身份,免去用户再次认证的过程。
  4. 认证完成后,认证中心将认证的凭据,有时会加上用户的一些信息,一起返回给客户端。也就是你在微信登录完成后,回到了极客时间 App。
  5. 客户端将凭据和其他信息发送给应用,也就是说,极客时间 App 将微信的登录凭据发送给了极客时间后端。
  6. 应用收到凭据后,可以通过签名的方式,验证凭据的有效性。或者,应用也可以直接和认证中心通信,验证凭据并获取用户信息。这也就是为什么极客时间能够拿到你的微信头像了。用户完成认证。

CAS 的流程非常经典,你现在应该理解了吧?我们后面要讲的 3 种单点登录方式,都和 CAS 的流程相似,说它们是 CAS 的“衍生品”也不为过。所以说,你一定要先掌握了 CAS 流程,然后再来看下面这 3 种。

JWT(JSON Web Token)是一种非常轻量级的单点登录流程。它会在客户端保存一个凭证信息,之后在你每一次登录的请求中都带上这个凭证,将其作为登录状态的依据。JWT 的好处在于,不需要应用服务端去额外维护 Cookie 或者 Session 了。但是,正是因为它将登录状态落到了客户端,所以我们无法进行注销等操作了。

OAuth(Open Authorization)的主要特点是授权,也是我们通常用 QQ、微信登录其他应用时所采用的协议。通过 OAuth,用户在完成了认证中心的登录之后,应用只能够验证用户确实在第三方登录了。但是,想要维持应用内的登录状态,应用还是得颁发自己的登录凭证。这也就是为什么 QQ 授权后,应用还需要绑定你的手机号码。这也就意味着,应用是基于 QQ 的信息创建了一个自身的账号。

7cc367844070960912f2bcc146660b2c.png

OpenID(Open Identity Document)和 OAuth 的功能基本一致。但是,OpenID 不提供授权的功能。最常见的,当我们需要在应用中使用微信支付的时候,应用只需要收集支付相关的信息即可,并不需要获取用户的微信头像。

在实际情况中,基于各种业务需求的考虑,很多公司都倾向于自己去实现一套 SSO 的认证体系,它的认证流程如下图所示:

d8d3a5c2627161122e694e68ca289e0c.png

在这个流程中,应用的服务器直接接收用户的认证信息,并转发给认证中心。对用户来说,这个认证中心是完全透明的。但是,这个流程给予了应用过多的信任,从安全性方面考量的话,是不合理的。在这个过程中,应用直接获取到了用户的认证信息,但应用能否保护好这些信息呢?我们并没有有效的办法去做确认。

因此,我的建议是,多花一些功夫去接入成熟的单点登录体系,而不是自己去实现一个简化版的。JWT 适用范围广,在单点登录的选取上面,如果想要将用户信息做统一管理,选择它最为简单;如果认证中心只是被用来维护账号密码,由业务去维护用户所绑定的其他手机等信息,那么,采用 OAuth 更合适。

写在最后:

有些公司是这样的情况:应用服务和中间件(这两个以下简称服务)部署在公司的机房里,服务通过nginx对外暴露。nginx在机器A上,其余服务在机器B~N,公司的安全人员要扫描所有机器上的应用。个人感觉如果机器B~N上做好防火墙设置,只需要关系机器A上的安全问题就可以了,机器B~N不对外暴露,觉得在应用服务层面就没有安全问题了。

实际上这么做,一定程度上能缓解安全问题。比如nginx如果只暴露80端口,那么B~N的漏洞则主要集中在Web漏洞上。但是,内网并不是绝对安全的,通过Web漏洞,也可以实现内网穿透,访问内网的其他服务。如果你的防火墙只是做在A和BN之间,那么对于这种横向渗透,就起不到防御作用了。

我们现在已经越来越习惯用这种通过微信/微博或者其他CAS来认证登陆的场景了,那在CAS完成认证过程后,登陆凭据是如何从CAS服务器转移到欲登陆的APP中的呢。我们知道Cookie等内容都是严格遵循浏览器的同源策略的,就算使用30X跳转,设置的Cookie也只能存在CAS域名内。实际上跳转使用的的是类似在Reloacation的URL后面跟上认证凭证跳转实现的。不过在网页中,一般是会生成一个form表单,表单的内容就是各种凭证,然后提交的时候,相当于以POST请求跳转到新页面,这样传递信息的长度也不受限制。具体可以看一下,SAML,网页时代比较流行的单点登录机制。

weixin_39731623
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
cas jwt shiro pac4j springboot认证心sso完整项目
05-05
前后端分离模式下的cas + shiro + pac4j,cas作为认证心,子应用采用shiro鉴权,通过pac4j与cas交互,返回jwt token,完整项目,基于springboot框架
单点登录 cas 设置回调地址_【IT新手之路】Spring Boot、Spring Security、Cas在前后端分离项目的整合...
weixin_39640085的博客
11-21 865
一、整合目的账务核心系统迁移到小花环境,需要对接小花现有的统一权限系统做权限控制和单点登录。目前账务系统所使用的是Spring Boot+React的前后端分离项目,所以本篇文章的主要目的是整理在前后端分离的项目怎样去整合cas,并对整合过程遇到的问题做重点说明。二、整合步骤添加引用这里省略了其他的引用,只列出了Spring-Security以及Spring-Security-CAS...
您已成功登录央认证系统--解决方案
热门推荐
weixin_43864292的博客
11-25 3万+
简单的聊一下最近遇到的登录内部系统无法跳到系统主页的问题 相信不少人也有这个疑惑,网上的提供的资料也不是很详细,所有这里简单的跟大家分享一下。 问题原因是什么呢? 首先这个是通过–>CAS(Central Authentication Service的缩写),央认证服务,技术做的一个登录功能,开发者在开发的过程,做了登录页面的权限控制(也就是要登录到主页,必需要是有带参数权限的页面才能...
单点登录那些事儿(三)不同域下的单点登录
Authing的博客
08-28 3413
单点登录,在企业的应用是多样的。上篇文章,我们提到企业的一个域名承载着不同的应用。但随着企业对新业务的探索,便会申请一些新的域名用于功能承载,一方面为了做区分,另一方面为了满足监管要求。在这种不同域名的模式下,打通原先站点的用户体系,就是本次介绍的 —— 不同域下的单点登录。 不同域名 SSO 原理设计 认证系统根据浏览器的登录信息,进行身份认证。如果通过,返回给浏览器一个证明 [ 认证系统_ticket ],再通过浏览器将 [ 认证系统 _ticket ] 发送到到各个应用设置相应 cookie 的
cas 登录之后跳转_单点登录那些事儿(三)不同域下的单点登录
weixin_39533052的博客
11-28 640
单点登录,在企业的应用是多样的。上篇文章,我们提到企业的一个域名承载着不同的应用。但随着企业对新业务的探索,便会申请一些新的域名用于功能承载,一方面为了做区分,另一方面为了满足监管要求。在这种不同域名的模式下,打通原先站点的用户体系,就是本次介绍的 —— 不同域下的单点登录。不同域名 SSO 原理设计认证系统根据浏览器的登录信息,进行身份认证。如果通过,返回给浏览器一个证明 [ 认证系统_ti...
深入浅析C#单点登录的原理和使用
12-31
单点登录指的是多个子系统只需要登录一个,其他系统不需要登录了(一个浏览器内)。一个子系统退出,其他子系统也全部是退出状态。 如果你还是不明白,我们举个实际的例子把。比如软件开发网首页:...
CAD_CAM系统单冠设计的研究.pdf
08-05
CAD_CAM系统单冠设计的研究.pdf
浅析权限管理系统单点登录
09-12
本文将深入探讨单点登录在权限管理系统应用及其优势。 单点登录允许用户只需一次登录,就可以访问企业内部的所有相互关联的应用系统,无需为每个系统分别记住独立的用户名和密码。这不仅减轻了用户的记忆负担,...
Moss单点登录源代码
04-13
1. ** Claims-Based Identity Model (基于声明的身份模型) **:这是Moss实现SSO的基础,它允许不同的应用系统之间交换安全信息,如用户身份和权限。用户只需提供一次凭证,之后这些凭证将以声明的形式在不同应用间...
单点登录(一)—— 单点登录及常见解决方案原理(CAS、oauth2、JWT
baolingye的博客
02-06 1万+
背景 在企业发展初期,企业使用的系统很少,通常一个或者两个,每个系统都有自己的登录模块,用户用不同的账号即可登录,很方便。 但随着企业的发展,用到的系统随之增多,用户在操作不同的系统时,需要多次登录,而且每个系统的账号都不一样,这对于用户来说,很不方便。于是,就想到是不是可以在一个系统登录,其他系统就不用登录了呢?这就是单点登录要解决的问题。 概念 单点登录英文全称Single Sign On...
CAS结合jwt实现系统登录思路
方方园园的博客
05-18 5114
传统的CAS集成方式主要有以下几个步骤: 1)用户访问应用系统资源,需要登录时重定向到CAS客户端,重定向链接包含Service(当前请求CAS系统的应用系统的URL)参数; 2)用户在CAS客户端进行身份认证; 3)认证通过后,CAS服务端产生一个随机的 Ticket,CAS服务端以Ticket为参数重定向到步骤1)的Service; 4)应用系统以Ticket为参数,请求CAS服务端API,验证Ticket的合法性; 5)CAS服务端验证Ticket合法后,返回用户信息给应用系统,应用系统本地保存用户
参考CAS流程并利用JWT的key共享实现单点登陆
沉默的夏虫
05-09 3557
背景 在企业发展初期,企业使用的系统很少,通常一个或者两个,每个系统都有自己的登录模块,运营人员每天用自己的账号登录,很方便。 但随着企业的发展,用到的系统随之增多,运营人员在操作不同的系统时,需要多次登录,而且每个系统的账号都不一样,这对于运营人员 来说,很不方便。于是,就想到是不是可以在一个系统登录,其他系统就不用登录了呢?这就是单点登录要解决的问题。 单点登录英文全称Single Sig...
登陆模块之JWT单点登录
Super_wolve的博客
05-29 2342
功能描述:通过一次登录来实现多个模块之间来回跳转,数据同步 单点登录的实现方式 redis实现session共享 jwt单点登录 cas单点登录单点登录服务器 本篇博客着重讲解JWT单点登录 首先来说下什么是无状态登录吧 务器不存登录的状态和数据,每次访问后台的过程都需要把密码等用户数据全部校验一遍,校验成功才算登录。 无状态登录的好处是,数据不需要在服务端session或redis存...
Token、CASJWT和OAuth 2.0认证系统认证心系统设计对比与实践总结
最新发布
qq_33665793的博客
02-07 1738
为了解决身份认证的需求,开发人员可以选择不同的认证系统,如Token、CAS(Central Authentication Service)和JWT(JSON Web Token)OAuth 2.0认证系统。Token、CASJWT和OAuth 2.0认证系统认证系统都是常见的身份认证解决方案,每种认证系统都有其优点和适用场景。- 技术栈和生态系统:考虑到技术栈和生态系统的因素,选择能够与现有技术栈无缝集成的认证系统。- 安全性:不同的认证系统有不同的安全特性,需要根据项目的安全需求选择合适的认证系统。
cas jwt 单点登录
Rika_Sir_Zhong的博客
05-08 1840
单点登录是我比较喜欢的一个技术解决方案,一方面他能够提高产品使用的便利性,另一方面他分离了各个应用都需要的登录服务,对性能以及工作量都有好处。自从上次研究过JWT如何应用于会话管理,加之以前的项目也一直在使用CAS这个比较流行的单点登录框架,所以就一直在琢磨如何能够把JWT单点登录结合起来一起使用,尽量能把两种技术的优势都集成到项目来。本文介绍我从CAS思考得出的SSO的实现方案。 ** 前...
SSO、OAuth2、JWTCAS、OpenID、LDAP、RBAC
summer_fish的专栏
11-08 3057
单点登录(Single Sign On),简称为 SSO,是比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统,用户只需要登录一次就可以访问所有相互信任的应用系统要实现SSO,需要构建以下两个主要内容:OAuth2.0是OAuth协议的延续版本,但不向前兼容OAuth 1.0(即完全废止了OAuth1.0)。OAuth 2.0关注客户端开发者的简易性。要么通过组织在资源拥有者和HTTP服务商之间的被批准的交互动作代表用户,要么允许第三方应用代表用户获得访问的权限。
Cas vue jwt方式 前后端分离单点登陆
lly983909814的博客
03-16 1207
需求 根据领导要求集成cas 客户端到我的服务上面,我的服务是基于jwt的方式进行登陆验证的。 看了很多博客都是基于net.unicon.cas-cas-client-autoconfig-support的方式集成到服务的。 原理 官方cas单点登陆时序图 思路 实现 基础变量 public String casServerUrl = "https://xxx/cas/login"; public String casServerLogoutUrl = "https://xxx/cas/
解读认证和授权 OAuth、SSO、CASJWT
yuezhilangniao的博客
05-05 1472
浅显易懂 解读认证和授权 OAuth、SSO、CASJWT
web 单点登录sso(single sign on)的实现方案:CAS, SAML, OIDC,JWT
u013905744的专栏
12-15 3412
什么是SSO? web登录的本质是什么? 如何增加状态/会话 单个系统的登录 扩展到多个系统,就是SSO 方案1:共享cookie,后台共享session spring session项目就是共享session,共享session放到redis Session Cookie要种在Web应用的根域上,也就是说不同Web应用的根域必须相同,否则会有跨域问题。 方案2:共享cookie,后台不共享session 签名的方式来校验 方案3:使用独立的认证CAS(central authen
java单点登录实现方式
07-17
后端应用只需验证代理服务器发送过来的认证信息即可实现单点登录。 4. 基于CAS(Central Authentication Service):CAS 是一种开源的单点登录协议,它使用一个心认证服务器来管理用户的认证状态。用户在访问其他...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值