sso解决方案和技术路线

sso解决方案和技术路线

ID:18517247

大小:310.50 KB

页数:9页

时间:2018-09-18

sso解决方案和技术路线_第1页
sso解决方案和技术路线_第2页
sso解决方案和技术路线_第3页
sso解决方案和技术路线_第4页
sso解决方案和技术路线_第5页
资源描述:

《sso解决方案和技术路线》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、CAS配置手册1SSO原理浅谈SSO 是一个非常大的主题,无数网友都在尝试使用开源的CAS,Kerberos也提供另外一种方式的SSO,即基于Windows域的SSO,还有就是从2005年开始一直兴旺不衰的SAML。  如果将这些免费的SSO解决方案与商业的Tivoli或Siteminder或RSASecureSSO产品做对比,差距是存在的。毕竟,商业产品的安全性和用户体验都是无与伦比的,我们现在提到的SSO,仅仅是WebSSO,即Web-SSO是体现在客户端;另外一种SSO是桌面SSO,例如,只需要作为Administrator登录一次windows2000,我便能够在使用M

2、SN/QQ的时候免去登录的环节(注意,这不是用客户端软件的密码记忆功能),是一种代理用户输入密码的功能。因此,桌面SSO是体现在OS级别上。  今天,当我们提起SSO的时候,我们通常是指WebSSO,它的主要特点是,SSO应用之间走Web协议(如HTTP/SSL),并且SSO都只有一个登录入口。  简单的 SSO 的体系中,会有下面三种角色:  1,User(多个)  2,Web应用(多个)  3,SSO认证中心(1个)虽然 SSO 实现模式千奇百怪,但万变不离其宗:Web 应用不处理 User 的登录,否则就是多点登陆了,所有的登录都在SSO认证中心进行。SSO认证中心通过一

3、些方法来告诉Web应用当前访问用户究竟是不是张三/李四。SSO认证中心和所有的Web应用建立一种信任关系,SSO认证中心对用户身份正确性的判断会通过某种方法告之Web应用,而且判断结果必须被Web应用信任。2CAS基本原理CAS(CentralAuthenticationService)是Yale大学发起的一个开源项目,据统计,大概每10个采用开源构建WebSSO的Java项目,就有8个使用CAS 。对这些统计,我虽然不以为然,但有一点可以肯定的是,CAS是我认为最简单实效,而且足够安全的SSO选择。本节主要分析 CAS 的安全性,以及为什么 CAS 被这样设计,带着少许密码学

4、的基础知识,我希望有助于读者对 CAS 的协议有更深层次的理解。2.1CAS的结构体系从结构体系看, CAS 包含两部分:CASServerCASServer负责完成对用户的认证工作,CASServer需要独立部署,有不止一种CASServer的实现,YaleCASServer和ESUPCASServer都是很不错的选择。CASServer会处理用户名/密码等凭证(Credentials),它可能会到数据库检索一条用户帐号信息,也可能在 XML 文件中检索用户密码,对这种方式,CAS均提供一种灵活但同一的接口/实现分离的方式,CAS究竟是用何种认证方式,跟 CAS 协议是分离的

5、,也就是,这个认证的实现细节可以自己定制和扩展。CASClientCASClient负责部署在客户端(注意,我是指Web应用),原则上,CASClient的部署意味着,当有对本地Web应用的受保护资源的访问请求,并且需要对请求方进行身份认证,Web应用不再接受任何的用户名密码等类似的Credentials,而是重定向到CASServer进行认证。目前, CASClient 支持(某些在完善中)非常多的客户端,包括 Java 、 .Net 、 ISAPI 、 Php 、 Perl 、 uPortal 、 Acegi 、 Ruby 、VBScript 等客户端,几乎可以这样说, C

6、AS 协议能够适合任何语言编写的客户端应用。1.1CAS协议剖析协议就像剖析设计模式,有些时候,协议让人摸不着头脑。 CAS 的代理模式要相对复杂一些,它引入了一些新的概念,我希望能够在这里描述一下其原理,有助于读者在配置和调试CASSSO有更清晰的思路。如果没记错,CAS协议应该是由DrewMazurek负责可开发的,从CASv1到现在的CASv3,整个协议的基础思想都是基于Kerberos的票据方式。  CASv1非常原始,传送一个用户名居然是”yes"ndavid.turing”的方式,CASv2开始使用了XML规范,大大增强了可扩展性,CASv3开始使用AOP技术,让 

7、Spring 爱好者可以轻松配置CASServer到现有的应用环境中。CAS是通过TGT(TicketGrantingTicket)来获取ST(ServiceTicket) ,通过ST来访问服务,而CAS也有对应TGT,ST的实体,而且他们在保护TGT的方法上虽然有所区别,但是,最终都可以实现这样一个目的——免去多次登录的麻烦。  下面,我们看看 CAS 的基本协议框架:1.1.1基础协议CAS 基础模式  上图是一个最基础的CAS协议,CASClient以Filter方式保护Web应用的受

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。