單點登入:跨平台、跨應用的身份驗證解決方案
(single sign on),簡稱為 sso
一、 什麼是單點登入(single sign on)
單點登入(single sign on),簡稱為 sso,是目前比較流行的企業業務整合的解決方案
。sso的定義是在多個應用系統中,使用者只需要登入一次就可以訪問所有相互信任的應用
系統,sso單點登入在應用層面上的「業務流程整合」,和使用者介面上的「通用企業門戶」
的應用,在外部來解決登入問題。
單點登入(sso,single sign-on)是一種方便使用者訪問多個系統的技術,使用者只需在登
錄時進行一次註冊,就可以在多個系統間自由穿梭,不必重複輸入使用者名稱和密碼來確定身
份。
passport 是一種服務
利用該服務,使用者可以通過只建立乙個登入名和密碼就能登入到 microsoft
passport network 站點和服務。如果您使用 passport network **和 passport 服務
,則表明您同意本宣告中描述的資料策略。
二、如何實現單點登入(single sign on)
筆者在深入觀察了微軟.net passport執行模式後,提出了如下的解決方案,在本解決方
案中,可以很好的實現跨平台、跨應用進行身份驗證,但是本解決方案有乙個侷限性就是
要求使用的開發語言必須要支援webservice。
1. 整體設計思路
首先我們要明確單點登入的執行模式,即統一身份驗證,在本解決方案中,我是通過web
service實現使用者身份驗證,驗證通過後將自動隨機生成身份驗證票據,並將身份驗證票
據傳送給使用者,待使用者訪問其他應用時,只對身份驗證票據進行合法性驗證即可。
2. webservice實現的功能
在本解決方案中,webservice提供的功能包括使用者名稱/密碼驗證、身份驗證票據的生成、
身份驗證票據的合法性驗證這三個最基本的功能,其他功能可以根據使用者的需求,自行擴
展。 由於webservice本身是跨平台的,只要各個應用在開發過程中使用的開發語言支援
webservice即可呼叫身份驗證平台進行相關的操作。
3. 身份驗證票據
所謂身份驗證票據就是使用者身份驗證通過後,發給使用者用以標示身份驗證通過的資訊。身
份驗證票據中可以加密儲存使用者的身份資訊或某一特定的驗證資訊等,一般使用對稱加密
,方便在身份驗證票據合法性的檢查中進行相應的解密。
身份驗證票據的儲存也是很有挑戰的一點,如果是c/s結構的程式,票據儲存比較方便,
只要其他應用能夠取到就可以。在web應用中,身份驗證票據的儲存就比較麻煩,我使用
的方法是通過跨域操作cookie,將票據儲存在cookie中即可,但是由於cookie的不安全性
,為防止惡意偽造cookie進行詐騙,建議身份驗證票據的生成過程中,加入特定的身份驗
證資訊。
CAS單點登入 簡介
cas是乙個單點登入框架,是 yale 大學發起的乙個開源專案,旨在為 web 應用系統提供一種可靠的單點登入方法,cas 在 2004 年 12 月正式成為 ja sig 的乙個專案。目前在github上管理 單點登入,英文全稱 single sign on sso sso是指在多個應用系統中,使...
CAS單點登入 簡介(一)
我們這次實戰用的版本為cas 5.1.3 cas是乙個單點登入框架,開始是由耶魯大學的乙個組織開發,後來歸到apereo去管。同時cas也是開源,遵循著apache 2.0協議,目前是在github上管理。單點登入 single sign on,簡稱sso,sso使得在多個應用系統中,使用者只需要登...
單點登入系統(流程簡介)
一 概述 單點登入系統sso single sign on 是在多個應用系統中,使用者只需要登入一次就可以訪問相互信任的其它系統 二 系統簡介 流程 1.使用者訪問應用一 2.應用一檢查使用者登入,如果使用者沒有,驗證不通過,應用一就帶著自己的url位址衝定向到認證系統索要票據 3.認證系統會返回給...