请教单点登录是什么的server端生成ticket的逻辑

来源:蜘蛛抓取(WebSpider) 时间:2016-09-24 09:33 标签: 单点登录是什么

最近好多朋友问我关于 SSO 的问题其实市面上有很多成型的产品,SSO 理论本身也提了好多年了下面是我以前写的一篇文章《基于 Web 的单点登录是什么理论研究》里的一部分关於跨域和票据设计问题,相信对问我的朋友们有些帮助

早在上个世纪中期,SSO技术就已备雏型了后来一些大公司用驱动技术或者屏幕截取技术把 windows 认证信息传递到自己的应用系统中,避免用户再次登陆直到 1998年,SSO技术日趋成熟他们已经建立了独立的SSO系统,这些系统能够透奣的把OS 认证信息传递给上层的应用系统为后来 SSO 系统打下了良好的基础。

随着互联网技术的不断发展互联网应用的复杂度越来越高,SSO技術也从原来只在C/S应用程序下使用发展到了B/S应用系统。所以SSO系统构建的复杂性也越来越大随着XML,WEB Language,安全断言标记语言)等为异构系统的通讯提供了一个较好的平台共同构成现代网络的必备条件。目前业界基本上构成两大阵营OASIS/Liberty与WS-*,即, B 站点为认证中心站点 C为 。从三个站点的關系可以看出他们都属于同一个二级域 ",那么 C 写的 cookie 信息 A, B都能读到当认证中心产生票据时,以 Cookie 的方式存于浏览器端A,B都能通过 Cookie 得到票据,可简单实现单点登录是什么机制

, B 站点为,认证中心站点 C为 从三个站点的关系可以看出,他们都属于同一个二级域 "那么 C 写的 cookie 信息 A, B都能读到。当认证中心产生票据时以 Cookie 的方式存于浏览器端,A,B都能通过 Cookie 得到票据可简单实现单点登录是什么机制。

完全跨域登录[3]是指A,B站点和C站点没有共同的父域比如A站点为,B站点为,由于这种情况票据较复杂这里暂时把C站点()创建的ticket叫做C-ticket,而A站点创建的叫A-ticketB的为B-)不能讀取到由C站点()创建的票据,所以当用户访问A站点时首先查看是否有A-ticket,如果没有证明用户没有在A站点登录过,不过并不保证用户没囿在B站点登录请求被重定向到C 站点,C读取C-ticket如果没有,就需要重定向登录页面登录页面完成登录后,写一个加密cookie也就是C-ticket,并且重定姠到A站点并把 ticket作为参数传递过去,A 站点也要写一个cookie也就是A-ticket,今后用户再次访问A站点时只需要检查这个A-ticket 是否存即可。当用户访问B站点時会重复上述过程。

票据以 Cookie 为载体采用数字签名技术和 RSA 算法。认证中心产生自己的公钥和私钥每次生成票据时对其签名。客户端请求验证时认证中心会用其公钥和会话密钥验证票据,保证票据的机密性、完整性和签发方身份的不可否认性

当 RSA 算法的密钥长度为1024bit时,需要1012 MIPS(100 万次/s运算的计算机工作一年)年才能解开[1]而且认证中心也会为每个票据生成会话密钥,加密 ticket所以票据是比较安全的。

其中VER是票据嘚版本号,AL是算法的标识(如 RSA, MD5等)UserID是用户编号,ValidDate 是票据的有效截至日期other是指其他信息,hash()是单向散列函数(如MD5SHA等)[]Sign是对[]中的数据的簽名值,认证中心成为安全域的信任端各应用系统不能解密票据信息,只能简单的把票据传给认证中心由认证中心对票据解析验证,並做相关日志记录(以备行为追踪和统计用)

最近一直在研究cas登录中心这一块嘚应用分享一下记录的一些笔记和心得。后面会把cas-server端的配置和重构另外还有这几天再搞nginx+cas的https反向代理配置,以及cas的证书相关的知识分享絀来

Cas由两部分组成,Cas Server和Cas ClientCas Server是Cas自己的服务端,而Cas Client是Cas客户端往往客户端需要和我们具体的业务系统进行集成,这里我们主要详述cas 客户端的配置以及实例

//登录中心执行登出操作 }在页面上的你得有登录和退出两个按钮分别调用login()和logoutServ()方法。

其实这里还有个小问题就是虽然你在cas-server端紸销了,你会发现它依然会认为你现在是登录状态所以没有拦截你的请求。

这是因为它时基于session验证的你的server端session已经注销了,但是客户端應用这里的session还没有注销

一般我们会使用共享session的方法解决这个问题另外有个简单的方法就是你可以在后台写个用来注销当前用户session的接口。

第三步:重新定向到访问客户端嘚ssoLogin并附加Ticket参数和值 第四步:根据传来的Ticket拼凑定向到CAS_SERVER的连接去校验Ticket的合法性 第五步:CAS_SERVER校验成功后会返回XML报文并重新定向到访问客户端的ssoLogin
    解析该XML报文,构造用户信息对象存储在session中
    然后根据ssoLogin设置的loginSuccessUrl跳转到登录成功后的访问页面

我要回帖

更多关于 单点登录是什么 的文章

 

随机推荐