SSO (Single Sign On)

于 2022-04-13 10:31:23 发布
阅读量3.6k 收藏 1
点赞数 1
分类专栏: 知识积累 文章标签: sso
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43214644/article/details/124142238
版权

单点登录(SingleSignOn,SSO),就是通过用户的一次性鉴别登录。当用户在身份认证服务器上登录一次以后,即可获得访问单点登录系统中其他关联系统和应用软件的权限,同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的,这意味着在多个应用系统中,用户只需一次登录就可以访问所有相互信任的应用系统。这种方式减少了由登录产生的时间消耗,辅助了用户管理,是比较流行的。
在日常生活中,很多人由于忘记某些网站的登录密码而烦恼,因为大多数用户都要记忆不少于10个用户名和相应密码。为了便于记忆,很多人都在不同的站点使用相同的用户名和密码,虽然这样可以减少负担,但是同时也降低了安全性,而且使用不同的站点同样要进行多次登录。同时,随着信息化飞速发展,大型企业和政府部门等都开始使用电子系统进行办公,而且整个办公系统由多个不同的子系统构成,如办公自动化(OA)系统,财务管理系统,档案管理系统,信息查询系统等。如果每个系统都使用独立的登录和验证机制,那么每天工作人员都要登录不同的系统进行办公。用户登录的频繁操作,降低了员工的工作效率,造成工作成本的浪费。而大量的密码和用户名的记忆时间长了也会出现问题,忘记密码或者混淆密码都会造成很大的麻烦。基于以上原因,为用户提供一个畅通的登录通道变得十分重要。
单点登录(SingleSign-On,SSO)是一种帮助用户快捷访问网络中多个站点的安全通信技术。单点登录系统基于一种安全的通信协议,该协议通过多个系统之间的用户身份信息的交换来实现单点登录。使用单点登录系统时,用户只需要登录一次,就可以访问多个系统,不需要记忆多个口令密码。单点登录使用户可以快速访问网络,从而提高工作效率,同时也能帮助提高系统的安全性。

实现机制
当用户第一次访问应用系统1的时候,因为还没有登录,会被引导到认证系统中进行登录;根据用户提供的登录信息,认证系统进行身份校验,如果通过校验,应该返回给用户一个认证的凭据--ticket;用户再访问别的应用的时候就会将这个ticket带上,作为自己认证的凭据,应用系统接受到请求之后会把ticket送到认证系统进行校验,检查ticket的合法性。如果通过校验,用户就可以在不用再次登录的情况下访问应用系统2和应用系统3了。
要实现SSO,需要以下主要的功能:
系统共享
统一的认证系统是SSO的前提之一。认证系统的主要功能是将用户的登录信息和用户信息库相比较,对用户进行登录认证;认证成功后,认证系统应该生成统一的认证标志(ticket),返还给用户。另外,认证系统还应该对ticket进行校验,判断其有效性。
信息识别
要实现SSO的功能,让用户只登录一次,就必须让应用系统能够识别已经登录过的用户。应用系统应该能对ticket进行识别和提取,通过与认证系统的通讯,能自动判断当前用户是否登录过,从而完成单点登录的功能。
另外:
1、单一的用户信息数据库并不是必须的,有许多系统不能将所有的用户信息都集中存储,应该允许用户信息放置在不同的存储中,事实上,只要统一认证系统,统一ticket的产生和校验,无论用户信息存储在什么地方,都能实现单点登录。
2、统一的认证系统并不是说只有单个的认证服务器
当用户在访问应用系统1时,由第一个认证服务器进行认证后,得到由此服务器产生的ticket。当他访问应用系统2的时候,认证服务器2能够识别此ticket是由第一个服务器产生的,通过认证服务器之间标准的通讯协议(例如SAML)来交换认证信息,仍然能够完成SSO的功能。
简单实现模式编辑 播报
SSO简单实现模式如图1所示,当用户第一次访问应用系统1的时候,由于还没有登录,会被引导到认证系统中进行登录;根据用户提供的登录信息,认证系统进行身份认证,如果通过认证,返回给用户一个认证的凭据Ticket;用户再访问别的应用的时候,就会将这个Ticket带上,作为自己认证的凭据,应用系统接受到请求之后会把Ticket送到认证系统进行效验,检查Ticket的合法性。如果通过认证,用户就可以在不用再次登录的情况下直接访问应用系统2和应用系统3。
在这里插入图片描述
应用优势
在这里插入图片描述

单点登录:用户只需登录一次,即可通过单点登录系统(eTrueSSO)访问后台的多个 应用系统,二次登陆时无需重新输入用户名和密码。如图2所示
C/S单点登录解决方案:无需修改任何现有的应用系统服务端和客户端即可实现C/S单点登录系统
即装即用:通过简单的配置,无须用户修改任何现有B/S、C/S应用系统即可使用
应用灵活性:内嵌金万维动态域名解析系统(gnHost),可独立实施,也可结合金万维异速联/天联产品使用
基于角色访问控制:根据用户的角色和URL实现访问控制功能
全面的日志审计:精确地记录用户的日志,可按日期、地址、用户、资源等信息对日志进行查询、统计和分析
集群:通过集群功能,实现多台服务器之间的动态负载均衡
传输加密:支持多种对称和非对称加密算法,保证用户信息在传输过程中不被窃取和篡改
可扩展性:对后续的业务系统扩充和扩展有良好的兼容性
应用缺点
1)不利于重构
因为涉及到的系统很多,要重构必须要兼容所有的系统,可能很耗时
2) 无人看守桌面
因为只需要登录一次,所有的授权的应用系统都可以访问,可能导致一些很重要的信息泄露。

格格巫 MMQ!!
关注
专栏目录
博客
深度分析Linux下双网卡绑定七种模式 多网卡的7种bond模式原理
07-01 4947
多网卡的7种bond模式原理Linux网卡绑定mode共有七种(0~6) bond0、bond1、bond2、bond3、bond4、bond5、bond6常用的有三种mode=0:平衡负载模式,有自动备援,但需要”Switch”支援及设定。mode=1:自动备援模式,其中一条线若断线,其他线路将会自动备援。mode=6:平衡负载模式,有自动备援,不必”Switch”支援及设定。需要说明的是如果想做成mode 0的负载均衡,仅仅设置这里options bond0 miimon=100 mode.
博客
5G技术优势
03-18 3万+
1G实现了移动通话,2G实现了短信、数字语音和手机上网,3G带来了基于图片的移动互联网,而4G则推动了移动视频的发展。5G网络则视为未来物联网、车联网等万物互联的基础。同时,5G普及将使得包括虚拟现实和增强现实这些技术成为主流。4G网络是专为手机打造的,没有为物联网进行优化。5G技术为物联网提供了超大带宽。与4G相比,5G网络可以支持10倍以上的设备。可以应用于自动驾驶、超高清视频、虚拟现实、万物互联的智能传感器。  5G网络主要有三大特点,极高的速率,极大的容量,极低的时延。相对4G网络,传输速率提升1
博客
允许Traceroute探测漏洞解决方法
03-29 1305
允许Traceroute探测漏洞解决方法详细描述 本插件使用Traceroute探测来获取扫描器与远程主机之间的路由信息。攻击者也可以利用这些信息来了解目标网络的网络拓扑。解决办法 在防火墙出站规则中禁用echo-reply(type 0)、time-exceeded(type 11)、destination-unreachable(type 3)类型的ICMP包。1、关闭Traceroute探测的方法2、重新载入防火墙配置3、查看防火墙规则。
博客
ftp连接命令linux的简单介绍
10-18 3935
oPort=远程端口号sftp get /var/www/fuyatao/index.php /home/fuyatao/。这条语句将从远程主机的 /var/www/fuyatao/目录下将 index.php。这条语句将把本地 /home/fuyatao/downloads/目录下的 linuxgl.pdf文件上传至远程主机/var/www/fuyatao/ 目录下。ls -l 普通文件就是以 - 开头,文件夹以 d 开头,grep 后面接正则表达式:^- 以 - 开头的匹配。
博客
yarn启动后用jps查看没有resourcemanager
10-15 831
1.1.添加:如下:再次启动yarn就有了,如下:2.
博客
Linux技巧:修复硬盘坏道
10-07 2915
Last cylinder or +size or +sizeM or +sizeK (51-125, default 125): +200M 注:这个是定义分区大小的,+200M 就是大小为200M;警告:删除分区时要小心,请看好分区的序号,如果您删除了扩展分区,扩展分区之下的逻辑分区都会删除;Last cylinder or +size or +sizeM or +sizeK (1-125, default 125): +200M 注:指定分区大小,用+200M来指定大小为200M。
博客
SDN介绍
09-14 1087
想当年,集群技术多火,STP和VRRP技术多经典,还不是慢慢被淘汰,成为了历史,只要不适应业务发展的需要,再好的技术都可能被淘汰。三是小型的数据中心网络,一旦部署后完成后,扩容和变更机会是比较少的,人工操作并不复杂,引入SDN属于大材小用,给数据中心带来的真正实惠不对,即便是那些大型的数据中心网络,扩容几台网络设备,一个熟练的网络工程师也可以很快完成,并不比SDN的方式慢多少,SDN虽是自动化部署,但出了问题排查起来也难度不小,Underlay和Overlay网络层面都要排查,网络问题复杂度增加了。
博客
running beyond physical memory limits. Current usage: 2.0 GB of 2 GB physical memory used; 2.6 GB of
09-14 507
因为默认值都是:1024M,也就是一个G,如果不够就会溢出!在运行hive sql前加上 : (map)或者 (reduce)
博客
Sftp登录时报received message too long 1416128883如何解决?Ensure the remote shell produces no output for non-
06-13 2869
但是,实际上文件系统也可能仅仅是一种访问数据的界面而已,实际的数据是通过网络协议(如NFS、SMB、9P等)提供的或者内存上,甚至可能根本没有对应的文件(如proc文件系统)。用户使用文件系统来保存数据,只需要记住这个文件的所属目录和文件名。在写入新数据之前,用户不必关心硬盘上的那个块地址没有被使用,硬盘上的存储空间管理(分配和释放)功能由文件系统自动完成,用户只需要记住数据被写入到了哪个文件中。在计算机领域,SSH文件传输协议,即SFTP,它是一数据流连接,提供文件访问、传输和管理功能的网络传输协议。
博客
ftp工具无法连接到Linux服务器
06-13 1602
ftp工具无法连接Linux服务器,文件无法上传,是因为你的ftp服务器未搭建(或未启动)但是ftp工具的21端口无法连上远程主机,文件无法上传。许久没有登录腾讯云,今天想用xshell的xftp工具上传文件,却突然出现连接不上。问题出在Linux虚拟云主机上面的 21 端口的 ftp 功能没有启动。执行下面的命令,将 vsftpd 设置为开机启动。ftp工具可以正常连上Linux服务器了,文件可以上传了。3.执行以下命令,确认服务是否启动。执行以下命令,安装 vsftpd。执行以下命令,启动服务。
博客
Linux新用户登录时出现“-bash-4.2$”的解决办法
06-13 2950
Linux服务器新建的用户在登录时显示“-bash-4.2$”,而不是“user@hostname”的显示方式,出现此问题的原因是在添加普通用户时,用户家目录下丢失了.bash_profile和.bashrc两个环境变量文件。之后退出终端重新登录即可。
博客
liunx卸载磁盘后重新挂载
05-15 646
root@localhost]# parted /dev/sdb 使用parted来对GPT磁盘操作,进入交互式模式。[root@localhost]# mkfs.xfs -f /dev/sdb1 格式化分区xfs格式。[root@localhost]# mkdir /data1 在根目录下新建挂载硬盘所需文件夹。[root@localhost]# vi /etc/fstab 在fstab表末添加下列参数。[root@localhost]# df -Th 查看分区挂载情况。
博客
5G NR 网络切片是什么意思
03-28 1820
b) CSC-A可以使用从CSP-A获得的网络切片来支持自己的通信服务,或者可以向获得的NSaaS添加额外的网络功能,并将得到的组合作为一个新的网络切片提供给CSP-b。网络切片可以理解为支持特定使用场景或商业模式的通信服务要求的一组逻辑网络功能的集合,是基于物理基础设施对服务的实现,这些逻辑网络功能可以看作是由EPC下的网络功能(NetworkFuncTIon)分解而来的一系列子功能(Networksub-FuncTIon)。与向终端用户提供的通信服务不同,在NSaaS中,所提供的服务是实际的网络切片。
博客
json文件怎么写注释
03-23 4179
4、我们可以使用重复定义的方法来添加注释。json文件解析后,是使用最后定义的值的。2、一个json文件,其实就是一个js脚本文件,我们可以使用//的单行注释符。5、如果不使用重复值,我们也可以专门使用//的键来作为注释键。1、 使用编辑器打开json文件,现在是没有注释内容的。3、也可以使用/* */符号来支持多行注释。6、添加完注释后,把文件保存就行了。(如果没有的话需要下载安装)
博客
xml文件的注释展示
03-23 1329
即能够在HTML文件之外将数据存储在XML文档中,这样可以使开发者集中精力使用HTML做好数据的显示和布局,并确保数据改动时不会导致HTML文件也需要改动,从而方便维护页面。XML也能够将数据以“数据岛”的形式存储在HTML页面中,开发者依然可以把精力集中到使用HTML格式化和显示数据上。基于XML可以在不兼容的系统之间交换数据,计算机系统和数据库系统所存储的数据有多种形式,对于开发者来说,最耗时间的工作就是在遍布网络的系统之间交换数据。xml文件的注释格式: ,注释不能嵌套定义。
博客
欧拉操作系统和linux区别
03-17 3639
linux 有自己的API。windows也有自己的API例如:linux下打开文件的函数是open(),而windows下却是fopen(),这并不能代表C语言有什么区别,只是说平台不同定义的API函数不同。而Linux发行套件系统才是咱们常说的Linux操作系统,也即是由Linux内核与各种常用软件的集合产品,全球大约有数百款的Linux系统版本,比较有名的有RedHat、CentOS、Ubuntu等。一般来说,我们平时说Linux指的是Linux系统内核,而centos是Linux发行套件系统。
博客
EasyConnect虚拟IP地址未分配
03-08 3429
工作中遇到EasyConnect虚拟IP地址未分配,导致无法正常连接服务器进行调测工作。
博客
MySQL修改密码的3种方式以及启动方式
02-10 2084
注意:下图修改密码的命令中 -uroot 和 -proot 是整体,不要写成 -u root -p root,-u 和 root 间可以加空格,但是会有警告出现,所以就不要加空格了。使用 mysqladmin 命令修改 MySQL 的 root 用户密码格式为 mysqladmin -u用户名 -p旧密码 password 新密码。在使用数据库时,我们也许会遇到 MySQL 需要修改密码的情况,比如密码太简单需要修改等。,其中 username 为要修改密码的用户名,newpwd 为要修改的新密码。
博客
Lftp for linux 编译安装
02-09 1759
默认命令安装路径/软件路径/lftp-4.9.2/src/lftp (可在 ./configure --prefix=“xxxxxxx” 自定义)make[2]: 离开目录“/root/lftp-4.9.2/contrib”make[2]: 进入目录“/root/lftp-4.9.2/tests”make[2]: 离开目录“/root/lftp-4.9.2/tests”make[2]: 离开目录“/root/lftp-4.9.2/src”make[2]: 离开目录“/root/lftp-4.9.2/po”
博客
com.jcraft.jsch.JSchException: Session.connect: java.io.IOException: End of IO Stream Read
02-09 4056
2)上网搜寻这个错误,发现国内遇到这个问题不多。国外stackoverflow网站上有贴出一样的报错,但是引用的jar版本不同,并且答案指出升级到jsch-0.1.54问题就不存在了。1)经过多次测试,排查问题。推测是环境ssh版本问题,由于客户环境不可见,无法获得sftp服务器ssh的版本。在sftp登录时,设置完ip,port,user和pwd之后。3)小心测试,解决问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值