cas單點登錄
好久沒寫過博客,因爲公司項目中有用到單點登錄,之前學習過一段時間,沒有做總結。今天得空,把單點登錄總結一下
1.什麼是單點登錄
單點登錄( Single Sign-on, 簡稱SSO )是目前比較流行的服務於企業業務整合的解決方案之一,SSO使得在多個應用系統中,用戶只需要登錄一次就可以訪問所有相互信任的應用系統。
2.SSO原理
2.1 SSO體系中的角色
一般SSO體系主要角色有三種:
1. User (多個)
2. web應用(多個)
3. SSO認證中心(1個)
2.2 SSO實現模式的原則
SSO實現模式一般包括以下三個原則:
1. 所有的認證登錄都在SSO認證中心進行
2. SSO認證中心通過一些方法來告訴web應用當前訪問用戶究竟是不是已通過認證的用戶
3. SSO認證中心和所有的web應用建立一種信任關係,也就是說web應用必須信任認證中心(單點信任)
2.3 SSO主要實現方式
SSO的主要實現方式有:
1, 所有相互信任的應用系統公用cookies
基於共享同域的cookie是web剛開始階段時使用的一種方式,他利用瀏覽同域名之間自動傳遞cookies機制,實現兩個域名之間系統令牌傳遞問題;另外,關於跨域問題,雖然cookies本身不跨域,單可以利用它實現跨域的SSO。
2.broker-based(基於經濟人)
這種技術的特點就是,有一個集中的認證和用戶賬號管理的服務器。經濟人給用於進一步請求的電子身份獲取。中央數據庫的使用減少了管理的代價,併爲認證提供一個公共和獨立的“第三方”。
3.agent-based(基於代理人)
在這種解決方案中,有一個自動地爲不同的應用程序認證用戶身份的代理 程序。這個代理程序需要設計有不同的功能。比如,他可以使用口令表或加密密鑰來自動地將認證的負擔從用戶移開。代理人被放在服務器上面,在服務器的認證系統和客戶端認證方法之間充當一個”翻譯”
4 Token-based(基於令牌)
5 基於網關
6 基於saml
安全斷言標記語言
3.cas的基本原理
服務器和客戶端
服務器:負責完成對用戶的認證,返回對應的處理結果 信息 。需要獨立部署,cas
Server會處理用戶名/密碼等
客戶端:負責處理對客戶端受保護資源的訪問請求,需要對請求方進行身份認證時,重定向到cas server 進行認證