1、單點登錄CAS實現中,感覺只要TGC就足夠了,幹嘛還要ST的
因為票據是通過url參數傳輸的,容易被盜取。
ST時效短(單次使用,30秒失效等),可以這樣傳;
TGC時效長(作為單點登錄伺服器的類似sessionId的東西),不能這樣傳。
2、怎麼是實現跨伺服器的單點登錄
登陸後登陸信息保存入cookie,同時伺服器中用戶設置成登陸狀態
跨域後,訪問cookie是否存在。如果存在,與資料庫中登陸狀態比對,如果是登陸狀態。直接可以訪問頁面,如果是退出狀態。跳轉到登陸頁面
所有頁面關閉時,都要重置登陸狀態為退出
3、單點登錄是什麼?
單點登錄Single Sign On簡稱為SSO,是目前比較流行的企業業務整合的解決方案之一。F5 BIG-IP Edge Gateway解決方案藉助SSO改進用戶體驗。SSO的定義是在多個應用系統中,用戶只需要登錄一次就可以訪問所有相互信任的應用系統。
企業應用集成(EAI)。企業應用集成可以在不同層面上進行:例如在數據存儲層面上的「數據大集中」,在傳輸層面
上的「通用數據交換平台」,在應用層面上的「業務流程整合」,和用戶界面上的「通用企業門戶」等等。事實上,還
用一個層面上的集成變得越來越重要,那就是「身份認證」的整合,也就是「單點登錄」。
單點登錄的技術實現機制:當用戶第一次訪問應用系統1的時候,因為還沒有登錄,會被引導到認證系統中進行登錄;
根據用戶提供的登錄信息,認證系統進行身份效驗,如果通過效驗,應該返回給用戶一個認證的憑據--ticket;用戶再訪問別的應用的時候,就會將這個ticket帶上,作為自己認證的憑據,應用系統接受到請求之後會把ticket送到認證系統進行效驗,檢查ticket的合法性。如果通過效驗,用戶就可以在不用再次登錄的情況下訪問應用系統2和應用系統3了。
可以看出,要實現SSO,需要以下主要的功能:
所有應用系統共享一個身份認證系統;
所有應用系統能夠識別和提取ticket信息;
應用系統能夠識別已經登錄過的用戶,能自動判斷當前用戶是否登錄過,從而完成單點登錄的功能。
其中統一的身份認證系統最重要,認證系統的主要功能是將用戶的登錄信息和用戶信息庫相比較,對用戶進行登錄認證;認證成功後,認證系統應該生成統一的認證標志(ticket),返還給用戶。另外,認證系統還應該對ticket進行效驗,判斷其有效性。整個系統可以存在兩個以上的認證伺服器,這些伺服器甚至可以是不同的產品。認證伺服器之間要通過標準的通訊協議,互相交換認證信息,就能完成更高級別的單點登錄。
F5 BIG-IP Edge Gateway解決方案藉助SSO改進用戶體驗,簡化移動/遠程員工的身份驗證流程不僅能夠提升用戶體驗,還能夠最大限度降低安全風險,並減少密碼鎖閉呼叫幫助中心的次數。F5 BIG-IP Edge Gateway能夠緩存登錄證書,並支持在登錄過程中身份驗證。如果發生連接掉線,用戶將被自動重新執行身份驗證。
4、單點登錄是什麼意思?
單點登錄(Single Sign On),簡稱為 SSO,是目前比較流行的企業業務整合的解決方案之一。
單點登錄就是在一個多系統共存的環境下,用戶在一處登錄後,就不用在其他系統中登錄,也就是用戶的一次登錄能得到其他所有系統的信任。
單點登錄在大型網站里使用得非常頻繁,例如像阿里巴巴這樣的網站,在網站的背後是成百上千的子系統,用戶一次操作或交易可能涉及到幾十個子系統的協作,如果每個子系統都需要用戶認證,不僅用戶會厭煩,各子系統也會為這種重復認證授權的邏輯而崩潰。
(4)單點登錄伺服器擴展資料:
實現單點登錄需要具備的條件:
1、所有應用系統共享一個身份認證系統:
統一的認證系統是SSO的前提之一。認證系統的主要功能是將用戶的登錄信息和用戶信息庫相比較,對用戶進行登錄認證;認證成功後,認證系統應該生成統一的認證標志(ticket),返還給用戶。另外,認證系統還應該對ticket進行效驗,判斷其有效性。
2、所有應用系統能夠識別和提取ticket信息:
要實現SSO的功能,讓用戶只登錄一次,就必須讓應用系統能夠識別已經登錄過的用戶。應用系統應該能對ticket進行識別和提取,通過與認證系統的通訊,能自動判斷當前用戶是否登錄過,從而完成單點登錄的功能。
參考資料來源:網路-單點登錄
5、單點登錄的原理
a 和b 怎麼知道拿yy 去驗證呢,還有它們怎麼確定登錄的客戶端是一個呢,我也在看這個問題,還沒找到解決辦法,你要找到了給我分享一下啊
6、求解!單點登錄怎麼實現的?
單點登錄(Single Sign On),簡稱為 SSO,是目前比較流行的企業業務整合的解決方案之一。SSO的定義是在多個應用系統中,用戶只需要登錄一次就可以訪問所有相互信任的應用系統。企業應用集成(EAI)。企業應用集成可以在不同層面上進行:例如在數據存儲層面上的「數據大集中」,在傳輸層面上的「通用數據交換平台」,在應用層面上的「業務流程整合」,和用戶界面上的「通用企業門戶」等等。事實上,還用一個層面上的集成變得越來越重要,那就是「身份認證」的整合,也就是「單點登錄」。單點登錄的技術實現機制:當用戶第一次訪問應用系統1的時候,因為還沒有登錄,會被引導到認證系統中進行登錄;根據用戶提供的登錄信息,認證系統進行身份效驗,如果通過效驗,應該返回給用戶一個認證的憑據--ticket;用戶再訪問別的應用的時候,就會將這個ticket帶上,作為自己認證的憑據,應用系統接受到請求之後會把ticket送到認證系統進行效驗,檢查ticket的合法性。如果通過效驗,用戶就可以在不用再次登錄的情況下訪問應用系統2和應用系統3了。可以看出,要實現SSO,需要以下主要的功能:所有應用系統共享一個身份認證系統;所有應用系統能夠識別和提取ticket信息;應用系統能夠識別已經登錄過的用戶,能自動判斷當前用戶是否登錄過,從而完成單點登錄的功能。其中統一的身份認證系統最重要,認證系統的主要功能是將用戶的登錄信息和用戶信息庫相比較,對用戶進行登錄認證;認證成功後,認證系統應該生成統一的認證標志(ticket),返還給用戶。另外,認證系統還應該對ticket進行效驗,判斷其有效性。整個系統可以存在兩個以上的認證伺服器,這些伺服器甚至可以是不同的產品。認證伺服器之間要通過標準的通訊協議,互相交換認證信息,就能完成更高級別的單點登錄。
7、兩個系統之間怎麼實現單點登錄?
主要實現方式有:
1、 共享 cookies
基於共享同域的 cookie 是 Web 剛開始階段時使用的一種方式,它利用瀏覽同域名之間自動傳遞 cookies 機制,實現兩個域名之間系統令牌傳遞問題;另外,關於跨域問題,雖然 cookies本身不跨域,但可以利用它實現跨域的 SSO 。如:代理、暴露 SSO 令牌值等。
缺點:不靈活而且有不少安全隱患,已經被拋棄。
2、 Broker-based( 基於經紀人 )
這種技術的特點就是,有一個集中的認證和用戶帳號管理的伺服器。經紀人給被用於進一步請求的電子身份存取。中央資料庫的使用減少了管理的代價,並為認證提供一個公共和獨立的 "第三方 " 。例如 Kerberos 、 Sesame 、 IBM KryptoKnight (憑證庫思想 ) 等。 Kerberos是由麻省理工大學發明的安全認證服務,已經被 UNIX 和 Windows 作為默認的安全認證服務集成進操作系統。
3、 Agent-based (基於代理人)
在這種解決方案中,有一個自動地為不同的應用程序認證用戶身份的代理程序。這個代理程序需要設計有不同的功能。比如,它可以使用口令表或加密密鑰來自動地將認證的負擔從用戶移開。代理人被放在伺服器上面,在伺服器的認證系統和客戶端認證方法之間充當一個 " 翻譯 "。例如 SSH 等。
4、 Token-based
例如 SecureID,WebID ,現在被廣泛使用的口令認證,比如 FTP 、郵件伺服器的登錄認證,這是一種簡單易用的方式,實現一個口令在多種應用當中使用。
5、 基於網關
6、 基於 SAML
SAML(Security Assertion Markup Language ,安全斷言標記語言)的出現大大簡化了 SSO ,並被 OASIS 批准為 SSO 的執行標准 。開源組織 OpenSAML 實現了 SAML 規范。
8、現在用的比較多的單點登錄技術是什麼?
1、http無狀態協議
web應用採用browser/server架構,http作為通信協議。http是無狀態協議,瀏覽器的每一次請求,伺服器會獨立處理,不與之前或之後的請求產生關聯,這個過程用下圖說明,三次請求/響應對之間沒有任何聯系
但這也同時意味著,任何用戶都能通過瀏覽器訪問伺服器資源,如果想保護伺服器的某些資源,必須限制瀏覽器請求;要限制瀏覽器請求,必須鑒別瀏覽器請求,響應合法請求,忽略非法請求;要鑒別瀏覽器請求,必須清楚瀏覽器請求狀態。既然http協議無狀態,那就讓伺服器和瀏覽器共同維護一個狀態吧!這就是會話機制。
2、會話機制
瀏覽器第一次請求伺服器,伺服器創建一個會話,並將會話的id作為響應的一部分發送給瀏覽器,瀏覽器存儲會話id,並在後續第二次和第三次請求中帶上會話id,伺服器取得請求中的會話id就知道是不是同一個用戶了。
伺服器在內存中保存會話對象,瀏覽器怎麼保存會話id呢?你可能會想到兩種方式
單點登錄涉及sso認證中心與眾子系統,子系統與sso認證中心需要通信以交換令牌、校驗令牌及發起注銷請求,因而子系統必須集成sso的客戶端,sso認證中心則是sso服務端,整個單點登錄過程實質是sso客戶端與服務端通信的過程。