单点登录 订阅
单点登录(Single Sign On),简称为 SSO,是比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。 展开全文
单点登录(Single Sign On),简称为 SSO,是比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。
信息
外文名
Single Sign On
简    称
SSO
使用场景
运维内控审计系统、4A系统
中文名
单点登录
功    能
企业内部登录系统
解    释
企业业务整合的解决方案
单点登录概述
很早期的公司,一家公司可能只有一个Server,慢慢的Server开始变多了。每个Server都要进行注册登录,退出的时候又要一个个退出。用户体验很不好!你可以想象一下,上豆瓣 要登录豆瓣FM、豆瓣读书、豆瓣电影、豆瓣日记......真的会让人崩溃的。我们想要另一种登录体验:一家企业下的服务只要一次注册,登录的时候只要一次登录,退出的时候只要一次退出。怎么做?一次注册。 一次注册不难,想一下是不是只要Server之间同步用户信息就行了?可以,但这样描述不太完整,后续讲用户注册的时候详细说。实际上用户信息的管理才是SSO真正的难点,只是作为初学者,我们的难点在于实现SSO的技术!我们先讨论实现手段。一次登录与一次退出。 回头看看普通商场的故事,什么东西才是保持登录状态关键的东西?记录器(session)?那种叫做cookie的纸张?写在纸张上的ID? 是session里面记录的信息跟那个ID,cookie不只是记录ID的工具而已。客户端持有ID,服务端持有session,两者一起用来保持登录状态。客户端需要用ID来作为凭证,而服务端需要用session来验证ID的有效性(ID可能过期、可能根本就是伪造的找不到对应的信息、ID下对应的客户端还没有进行登录验证等)。但是session这东西一开始是每个server自己独有的,豆瓣FM有自己的session、豆瓣读书有自己的session,而记录ID的cookie又是不能跨域的。所以,我们要实现一次登录一次退出,只需要想办法让各个server的共用一个session的信息,让客户端在各个域名下都能持有这个ID就好了。再进一步讲,只要各个server拿到同一个ID,都能有办法检验出ID的有效性、并且能得到ID对应的用户信息就行了,也就是能检验ID [1]  。
收起全文
精华内容
下载资源
问答
我要提问

  • 单点登录

     千次阅读 2020-02-26 19:29:45
    Shiro 1.2 开始提供了 Jasig CAS 单点登录的支持,单点登录主要用于多系统集成,即在多个 系统中,用户只需要到一个中央服务器登录一次即可访问这些系统中的任何一个,无须多 次登录。此处我们使用 Jasig ... 
    Shiro 1.2 开始提供了 Jasig CAS 单点登录的支持,单点登录主要用于多系统集成,即在多个
    


     
    


     
    


    系统中,用户只需要到一个中央服务器登录一次即可访问这些系统中的任何一个,无须多
    


     
    


     
    


    次登录。此处我们使用 Jasig CAS v4.0.0-RC3 版本:
    


     
    


     
    


    https://github.com/Jasig/cas/tree/v4.0.0-RC3
    


     
    


     
    


    Jasig CAS 单点登录系统分为服务器端和客户端,服务器端提供单点登录,多个客户端(子
    


     
    


     
    


    系统)将跳转到该服务器进行登录验证,大体流程如下:
    


     
    


     
    


    1、访问客户端需要登录的页面 http://localhost:9080/ client/,此时会跳到单点登录服务器
    


     
    


     
    


    https://localhost:8443/ server/login?service=https://localhost:9443/ client/cas
    


     
    


     
    


    2、如果此时单点登录服务器也没有登录的话,会显示登录表单页面,输入用户名/密码进
    


     
    


     
    


    行登录;
    


     
    


     
    


    3 、登录 成 功 后 服务器 端 会 回 调 客户端 传 入 的 地 址 :
    


     
    


     
    


    https://localhost:9443/client/cas?ticket=ST-1-eh2cIo92F9syvoMs5DOg-cas01.example.org,且带
    


     
    


     
    


    着一个 ticket
    


     
    


     
    


    4、客户端会把 ticket 提交给服务器来验证 ticket 是否有效;如果有效服务器端将返回用户
    


     
    


     
    


    身份;
    


     
    


     
    


    5、客户端可以再根据这个用户身份获取如当前系统用户/角色/权限信息。
    


     
    收起
    展开全文

  • 什么是单点登录单点登录的三种实现方式

     万次阅读 多人点赞 2018-06-07 21:18:22
    单点登录SSO(Single Sign On)说得简单点就是在一个多系统共存的环境下,用户在一处登录后,就不用在其他系统中登录,也就是用户的一次登录能得到其他所有系统的信任。单点登录在大型网站里使用得非常频繁,例如像... 
    单点登录SSO(Single Sign On)说得简单点就是在一个多系统共存的环境下,用户在一处登录后,就不用在其他系统中登录,也就是用户的一次登录能得到其他所有系统的信任。单点登录在大型网站里使用得非常频繁,例如像阿里巴巴这样的网站,在网站的背后是成百上千的子系统,用户一次操作或交易可能涉及到几十个子系统的协作,如果每个子系统都需要用户认证,不仅用户会疯掉,各子系统也会为这种重复认证授权的逻辑搞疯掉。实现单点登录说到底就是要解决如何产生和存储那个信任,再就是其他系统如何验证这个信任的有效性,因此要点也就以下两个:
    


    • 存储信任
      • 
	
    • 验证信任
      • 

    如果一个系统做到了开头所讲的效果,也就算单点登录,单点登录有不同的实现方式,本文就罗列我开发中所遇见过的实现方式。
    


    以Cookie作为凭证媒介 
    
最简单的单点登录实现方式,是使用cookie作为媒介,存放用户凭证。 
    
用户登录父应用之后,应用返回一个加密的cookie,当用户访问子应用的时候,携带上这个cookie,授权应用解密cookie并进行校验,校验通过则登录当前用户。
    


    这里写图片描述
    


    不难发现以上方式把信任存储在客户端的Cookie中,这种方式很容易令人质疑:
    


    • Cookie不安全
      • 
	
    • 不能跨域实现免登
      • 

    对于第一个问题,通过加密Cookie可以保证安全性,当然这是在源代码不泄露的前提下。如果Cookie的加密算法泄露,攻击者通过伪造Cookie则可以伪造特定用户身份,这是很危险的。 
    
对于第二个问题,更是硬伤。
    


    通过JSONP实现 
    
对于跨域问题,可以使用JSONP实现。 
    
用户在父应用中登录后,跟Session匹配的Cookie会存到客户端中,当用户需要登录子应用的时候,授权应用访问父应用提供的JSONP接口,并在请求中带上父应用域名下的Cookie,父应用接收到请求,验证用户的登录状态,返回加密的信息,子应用通过解析返回来的加密信息来验证用户,如果通过验证则登录用户。
    


    这里写图片描述
    


    这种方式虽然能解决跨域问题,但是安全性其实跟把信任存储到Cookie是差不多的。如果一旦加密算法泄露了,攻击者可以在本地建立一个实现了登录接口的假冒父应用,通过绑定Host来把子应用发起的请求指向本地的假冒父应用,并作出回应。 
    
因为攻击者完全可以按照加密算法来伪造响应请求,子应用接收到这个响应之后一样可以通过验证,并且登录特定用户。
    


    通过页面重定向的方式 
    
最后一种介绍的方式,是通过父应用和子应用来回重定向中进行通信,实现信息的安全传递。 
    
父应用提供一个GET方式的登录接口,用户通过子应用重定向连接的方式访问这个接口,如果用户还没有登录,则返回一个的登录页面,用户输入账号密码进行登录。如果用户已经登录了,则生成加密的Token,并且重定向到子应用提供的验证Token的接口,通过解密和校验之后,子应用登录当前用户。
    


    这里写图片描述
    


    这种方式较前面两种方式,接解决了上面两种方法暴露出来的安全性问题和跨域的问题,但是并没有前面两种方式方便。 
    
安全与方便,本来就是一对矛盾。
    


    使用独立登录系统 
    
一般说来,大型应用会把授权的逻辑与用户信息的相关逻辑独立成一个应用,称为用户中心。 
    
用户中心不处理业务逻辑,只是处理用户信息的管理以及授权给第三方应用。第三方应用需要登录的时候,则把用户的登录请求转发给用户中心进行处理,用户处理完毕返回凭证,第三方应用验证凭证,通过后就登录用户。
    


    本文转载自JC_Huang 
    
原文链接:http://www.jianshu.com/p/613e44d4a464
    收起
    展开全文

  • CAS实现单点登录(SSO)经典完整教程

     万次阅读 多人点赞 2011-08-06 11:01:38
    一、简介 1、cas是有耶鲁大学研发的单点登录服务器 2、本教材所用环境 Tomcat7.2JDK6CAS Service 版本 cas-server-3.4.8-rele 
     目录
    


        一、简介
    


        二、生成证书
    


        三、配置服务端
    


       四、配置客户端
    


       五、常见问题说明
    


        一、简介
    


                    1、cas是有耶鲁大学研发的单点登录服务器
    


                     2、本教材所用环境
    


     
    


    • Tomcat7.2
      • 
	
    • JDK6
      • 
	
    • CAS Service 版本    cas-server-3.4.8-release
      • 
	
    • CAS Client版本      cas-client-3.2.1-release                                
      • 

     
    


        二、生成证书
    


                                证书对于实现此单点登录非常之重要,证书是服务器端和客户端安全通信的凭证,本教程只是演示,所有用了
    


                        JDK自带的证书生成工具keytool。当然在实际项目中你可以到专门的证书认证中心购买证书。
    


                                中文官方网站:http://www.verisign.com/cn/
    


                       1、用JDK自带的keytool生成证书
    


                                
    


    命令:keytool -genkey -alias  smalllove -keyalg RSA -keystore D:/keys/smallkey
    


                       此命令是生成一个证书,其中 smalllove 是证书别名
    


     
    


         此命令的执行如图所示:
    


                        
    


                          其中名字与姓氏这一最好写你的 域名,如果在单击测试你可以在C:\Windows\System32\drivers\etc\hosts文件中映射一个虚拟域名,
    


                  注意不要写IP。
    


               2、导出证书
    


                    
    


    命令:C:\>keytool -export -file d:/keys/small.crt -alias smalllove -keystore d:/keys/smallkey
    


                    如图:
    


     
    


                          
    


                   密码为上步设置的密码。
    


               3、把证书导入到客户端JDK中。
    


                    
    


    命令:keytool -import -keystore C:\Java\jdk1.6.0_21\lib\security\cacerts -file D:/keys/small.crt -alias smalllove
    


               此命令是把证书导入到JDK中。
    


     
    


               如图:
    


                
    


              到此证书导入成功。
    


               注意:在此步有可能出现如下错误
    


         
    


               C:\>keytool -import -keystore C:\Java\jdk1.6.0_21\lib\security\cacerts -file D:/keys/small.crt -alias smalllove
              输入keystore密码:
            keytool错误: java.io.IOException: Keystore was tampered with, or password was incorrect
    


                         次错误的解决方法是,把%JAVA_HOME%\lib\security下的cacerts文件删除掉,在执行。
    


     
    


                     
    


        三、配置服务端
    


                          1、 下载CAS的服务端,解压,把解压后的文件中modules文件夹中的cas-server-webapp-3.4.8.war文件拷贝的%TOMCAT_HOME%\webapps
    


                   下,并修改文件名为:cas.war。
    


                                 源码下载地址:https://github.com/Jasig/cas/releases
    


                          2、修改%TOMCAT_HOME%\conf\server.xml文件
    


                                   去掉此文件83到93行之间的注释,修改为:
    


                           
    


    <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
               maxThreads="150" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" 
			   keystoreFile="D:/keys/smallkey"  <!--在2.1中生成的证书的位置-->
			   keystorePass="smalllove"/>       <!--在2.1中设置的密码-->
    


                         3、以上配置完成访问http://yourhost:8443/cas出现一下页面
    


     
    


                                       
    


                              点击继续浏览会出现
    


                                             
    


                             输入用户名admin和密码admin登录则会出现
    


                                          
    


                             登录成功。
    


                             至此,说明服务端配置成功。
    


       四、配置客户端
    


                       1、添加客户端到你的项目中
    


                              ·手动下载下载cas-client,地址:http://downloads.jasig.org/cas-clients/,然后解压cas-client-3.1.12.zip,在modules文件夹中有需要的jar包,                         请根据自己的项目情况选择使用,把相应的jar包放到你项目WEB-INF/lib下。
    


                       ·使用maven
    


                                  
    


    <!-- cas -->
<dependency>
	<groupId>org.jasig.cas.client</groupId>
	<artifactId>cas-client-core</artifactId>
	<version>3.1.12</version>
</dependency>
    


                    2、在客户端项目的web.xml配置过滤器
    


                            
    


    <!-- ======================== 单点登录开始 ======================== -->
	<!-- 用于单点退出,该过滤器用于实现单点登出功能,可选配置 -->
	<listener>
		<listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
	</listener>

	<!-- 该过滤器用于实现单点登出功能,可选配置。 -->
	<filter>
		<filter-name>CAS Single Sign Out Filter</filter-name>
		<filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
	</filter>
	<filter-mapping>
		<filter-name>CAS Single Sign Out Filter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>

	<!-- 该过滤器负责用户的认证工作,必须启用它 -->
	<filter>
		<filter-name>CASFilter</filter-name>
		<filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
		<init-param>
			<param-name>casServerLoginUrl</param-name>
			<param-value>https://www.travel.com:8443/cas/login</param-value>
			<!--这里的server是服务端的IP -->
		</init-param>
		<init-param>
			<param-name>serverName</param-name>
			<param-value>http://www.travel.com:8080</param-value><span style="color:#FF0000;"> ①</span>
		</init-param>
	</filter>
	<filter-mapping>
		<filter-name>CASFilter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>

	<!-- 该过滤器负责对Ticket的校验工作,必须启用它 -->
	<filter>
		<filter-name>CAS Validation Filter</filter-name>
		<filter-class>
			org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>
		<init-param>
			<param-name>casServerUrlPrefix</param-name>
			<param-value>https://www.travel.com:8443/cas</param-value>
		</init-param>
		<init-param>
			<param-name>serverName</param-name>
			<param-value>http://www.travel.com:8080</param-value>  <span style="color:#FF0000;">②</span>
		</init-param>
	</filter>
	<filter-mapping>
		<filter-name>CAS Validation Filter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>

	<!-- 该过滤器负责实现HttpServletRequest请求的包裹, 比如允许开发者通过HttpServletRequest的getRemoteUser()方法获得SSO登录用户的登录名,可选配置。 -->
	<filter>
		<filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
		<filter-class>
			org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>
	</filter>
	<filter-mapping>
		<filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>

	<!-- 该过滤器使得开发者可以通过org.jasig.cas.client.util.AssertionHolder来获取用户的登录名。 比如AssertionHolder.getAssertion().getPrincipal().getName()。 -->
	<filter>
		<filter-name>CAS Assertion Thread Local Filter</filter-name>
		<filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>
	</filter>
	<filter-mapping>
		<filter-name>CAS Assertion Thread Local Filter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>

	<!-- ======================== 单点登录结束 ======================== -->
    


                 
    


     
    


     
    


       五、常见问题说明
    


                      错误一、
    


                               
    


             若出现以上错原因是:你在客户端的web.xml中①,②的配置有误。
    


                 错误二、
    


                             
    


    javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: 
PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: 
unable to find valid certification path to requested target
    


                      若出现次错误是有与你客户端的证书有问题。重新导入你证书。
    


     
    收起
    展开全文
    validation jdk security wrapper

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 27,080
精华内容 10,832
热门标签
关键字:

单点登录