單點登錄伺服器

1、單點登錄CAS實現中，感覺只要TGC就足夠了，幹嘛還要ST的

因為票據是通過url參數傳輸的，容易被盜取。
ST時效短（單次使用，30秒失效等），可以這樣傳；
TGC時效長（作為單點登錄伺服器的類似sessionId的東西），不能這樣傳。

2、怎麼是實現跨伺服器的單點登錄

登陸後登陸信息保存入cookie，同時伺服器中用戶設置成登陸狀態
跨域後，訪問cookie是否存在。如果存在，與資料庫中登陸狀態比對，如果是登陸狀態。直接可以訪問頁面，如果是退出狀態。跳轉到登陸頁面
所有頁面關閉時，都要重置登陸狀態為退出

3、單點登錄是什麼？

單點登錄Single Sign On簡稱為SSO，是目前比較流行的企業業務整合的解決方案之一。F5 BIG-IP Edge Gateway解決方案藉助SSO改進用戶體驗。SSO的定義是在多個應用系統中，用戶只需要登錄一次就可以訪問所有相互信任的應用系統。

企業應用集成（EAI）。企業應用集成可以在不同層面上進行：例如在數據存儲層面上的「數據大集中」，在傳輸層面
上的「通用數據交換平台」，在應用層面上的「業務流程整合」，和用戶界面上的「通用企業門戶」等等。事實上，還
用一個層面上的集成變得越來越重要，那就是「身份認證」的整合，也就是「單點登錄」。
單點登錄的技術實現機制：當用戶第一次訪問應用系統1的時候，因為還沒有登錄，會被引導到認證系統中進行登錄；
根據用戶提供的登錄信息，認證系統進行身份效驗，如果通過效驗，應該返回給用戶一個認證的憑據－－ticket；用戶再訪問別的應用的時候，就會將這個ticket帶上，作為自己認證的憑據，應用系統接受到請求之後會把ticket送到認證系統進行效驗，檢查ticket的合法性。如果通過效驗，用戶就可以在不用再次登錄的情況下訪問應用系統2和應用系統3了。

可以看出，要實現SSO，需要以下主要的功能：
所有應用系統共享一個身份認證系統；
所有應用系統能夠識別和提取ticket信息；
應用系統能夠識別已經登錄過的用戶，能自動判斷當前用戶是否登錄過，從而完成單點登錄的功能。
其中統一的身份認證系統最重要，認證系統的主要功能是將用戶的登錄信息和用戶信息庫相比較，對用戶進行登錄認證；認證成功後，認證系統應該生成統一的認證標志（ticket），返還給用戶。另外，認證系統還應該對ticket進行效驗，判斷其有效性。整個系統可以存在兩個以上的認證伺服器，這些伺服器甚至可以是不同的產品。認證伺服器之間要通過標準的通訊協議，互相交換認證信息，就能完成更高級別的單點登錄。

F5 BIG-IP Edge Gateway解決方案藉助SSO改進用戶體驗，簡化移動/遠程員工的身份驗證流程不僅能夠提升用戶體驗，還能夠最大限度降低安全風險，並減少密碼鎖閉呼叫幫助中心的次數。F5 BIG-IP Edge Gateway能夠緩存登錄證書，並支持在登錄過程中身份驗證。如果發生連接掉線，用戶將被自動重新執行身份驗證。

4、單點登錄是什麼意思？

單點登錄（Single Sign On），簡稱為 SSO，是目前比較流行的企業業務整合的解決方案之一。

單點登錄就是在一個多系統共存的環境下，用戶在一處登錄後，就不用在其他系統中登錄，也就是用戶的一次登錄能得到其他所有系統的信任。

單點登錄在大型網站里使用得非常頻繁，例如像阿里巴巴這樣的網站，在網站的背後是成百上千的子系統，用戶一次操作或交易可能涉及到幾十個子系統的協作，如果每個子系統都需要用戶認證，不僅用戶會厭煩，各子系統也會為這種重復認證授權的邏輯而崩潰。

(4)單點登錄伺服器擴展資料：

實現單點登錄需要具備的條件：

1、所有應用系統共享一個身份認證系統：

統一的認證系統是SSO的前提之一。認證系統的主要功能是將用戶的登錄信息和用戶信息庫相比較，對用戶進行登錄認證；認證成功後，認證系統應該生成統一的認證標志（ticket），返還給用戶。另外，認證系統還應該對ticket進行效驗，判斷其有效性。

2、所有應用系統能夠識別和提取ticket信息：

要實現SSO的功能，讓用戶只登錄一次，就必須讓應用系統能夠識別已經登錄過的用戶。應用系統應該能對ticket進行識別和提取，通過與認證系統的通訊，能自動判斷當前用戶是否登錄過，從而完成單點登錄的功能。

參考資料來源：網路-單點登錄

5、單點登錄的原理

a 和b 怎麼知道拿yy 去驗證呢，還有它們怎麼確定登錄的客戶端是一個呢，我也在看這個問題，還沒找到解決辦法，你要找到了給我分享一下啊

6、求解！單點登錄怎麼實現的?

單點登錄（Single Sign On），簡稱為 SSO，是目前比較流行的企業業務整合的解決方案之一。SSO的定義是在多個應用系統中，用戶只需要登錄一次就可以訪問所有相互信任的應用系統。企業應用集成（EAI）。企業應用集成可以在不同層面上進行：例如在數據存儲層面上的「數據大集中」，在傳輸層面上的「通用數據交換平台」，在應用層面上的「業務流程整合」，和用戶界面上的「通用企業門戶」等等。事實上，還用一個層面上的集成變得越來越重要，那就是「身份認證」的整合，也就是「單點登錄」。單點登錄的技術實現機制：當用戶第一次訪問應用系統1的時候，因為還沒有登錄，會被引導到認證系統中進行登錄；根據用戶提供的登錄信息，認證系統進行身份效驗，如果通過效驗，應該返回給用戶一個認證的憑據－－ticket；用戶再訪問別的應用的時候，就會將這個ticket帶上，作為自己認證的憑據，應用系統接受到請求之後會把ticket送到認證系統進行效驗，檢查ticket的合法性。如果通過效驗，用戶就可以在不用再次登錄的情況下訪問應用系統2和應用系統3了。可以看出，要實現SSO，需要以下主要的功能：所有應用系統共享一個身份認證系統；所有應用系統能夠識別和提取ticket信息；應用系統能夠識別已經登錄過的用戶，能自動判斷當前用戶是否登錄過，從而完成單點登錄的功能。其中統一的身份認證系統最重要，認證系統的主要功能是將用戶的登錄信息和用戶信息庫相比較，對用戶進行登錄認證；認證成功後，認證系統應該生成統一的認證標志（ticket），返還給用戶。另外，認證系統還應該對ticket進行效驗，判斷其有效性。整個系統可以存在兩個以上的認證伺服器，這些伺服器甚至可以是不同的產品。認證伺服器之間要通過標準的通訊協議，互相交換認證信息，就能完成更高級別的單點登錄。

7、兩個系統之間怎麼實現單點登錄?

主要實現方式有：

1、 共享 cookies

基於共享同域的 cookie 是 Web 剛開始階段時使用的一種方式，它利用瀏覽同域名之間自動傳遞 cookies 機制，實現兩個域名之間系統令牌傳遞問題；另外，關於跨域問題，雖然 cookies本身不跨域，但可以利用它實現跨域的 SSO 。如：代理、暴露 SSO 令牌值等。

缺點：不靈活而且有不少安全隱患，已經被拋棄。

2、 Broker-based( 基於經紀人 )

這種技術的特點就是，有一個集中的認證和用戶帳號管理的伺服器。經紀人給被用於進一步請求的電子身份存取。中央資料庫的使用減少了管理的代價，並為認證提供一個公共和獨立的 "第三方 " 。例如 Kerberos 、 Sesame 、 IBM KryptoKnight （憑證庫思想 ) 等。 Kerberos是由麻省理工大學發明的安全認證服務，已經被 UNIX 和 Windows 作為默認的安全認證服務集成進操作系統。

3、 Agent-based （基於代理人）

在這種解決方案中，有一個自動地為不同的應用程序認證用戶身份的代理程序。這個代理程序需要設計有不同的功能。比如，它可以使用口令表或加密密鑰來自動地將認證的負擔從用戶移開。代理人被放在伺服器上面，在伺服器的認證系統和客戶端認證方法之間充當一個 " 翻譯 "。例如 SSH 等。

4、 Token-based

例如 SecureID,WebID ，現在被廣泛使用的口令認證，比如 FTP 、郵件伺服器的登錄認證，這是一種簡單易用的方式，實現一個口令在多種應用當中使用。

5、 基於網關

6、 基於 SAML

SAML(Security Assertion Markup Language ，安全斷言標記語言）的出現大大簡化了 SSO ，並被 OASIS 批准為 SSO 的執行標准 。開源組織 OpenSAML 實現了 SAML 規范。

8、現在用的比較多的單點登錄技術是什麼？

1、http無狀態協議
web應用採用browser/server架構，http作為通信協議。http是無狀態協議，瀏覽器的每一次請求，伺服器會獨立處理，不與之前或之後的請求產生關聯，這個過程用下圖說明，三次請求/響應對之間沒有任何聯系
但這也同時意味著，任何用戶都能通過瀏覽器訪問伺服器資源，如果想保護伺服器的某些資源，必須限制瀏覽器請求；要限制瀏覽器請求，必須鑒別瀏覽器請求，響應合法請求，忽略非法請求；要鑒別瀏覽器請求，必須清楚瀏覽器請求狀態。既然http協議無狀態，那就讓伺服器和瀏覽器共同維護一個狀態吧！這就是會話機制。
2、會話機制
瀏覽器第一次請求伺服器，伺服器創建一個會話，並將會話的id作為響應的一部分發送給瀏覽器，瀏覽器存儲會話id，並在後續第二次和第三次請求中帶上會話id，伺服器取得請求中的會話id就知道是不是同一個用戶了。
伺服器在內存中保存會話對象，瀏覽器怎麼保存會話id呢？你可能會想到兩種方式
單點登錄涉及sso認證中心與眾子系統，子系統與sso認證中心需要通信以交換令牌、校驗令牌及發起注銷請求，因而子系統必須集成sso的客戶端，sso認證中心則是sso服務端，整個單點登錄過程實質是sso客戶端與服務端通信的過程。