sso 原理 cas 以外的其他开源 sso 方案.doc

  1. 1、本文档共14页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
sso 原理 cas 以外的其他开源 sso 方案

1. SSO?原理浅谈 ?????? SSO?是一个非常大的主题,我对这个主题有着深深的感受,自从广州?UserGroup?的论坛成立以来,无数网友都在尝试使用开源的?CAS?,Kerberos?也提供另外一种方式的?SSO?,即基于?Windows?域的?SSO?,还有就是从?2005?年开始一直兴旺不衰的?SAML?。 ???????如果将这些免费的?SSO?解决方案与商业的?Tivoli?或?Siteminder?或?RSA Secure SSO?产品做对比,差距是存在的。毕竟,商业产品的安全性和用户体验都是无与伦比的,我们现在提到的?SSO?,仅仅是?Web SSO?,即?Web-SSO?是体现在客户端;另外一种?SSO?是桌面?SSO?,例如,只需要作为?Administrator?登录一次?windows 2000?,我便能够在使用?MSN/QQ?的时候免去登录的环节?(?注意,这不是用客户端软件的密码记忆功能?)?,是一种代理用户输入密码的功能。因此,桌面?SSO?是体现在?OS?级别上。 ???????今天,当我们提起?SSO?的时候,我们通常是指?Web SSO?,它的主要特点是,?SSO?应用之间走?Web?协议?(?如?HTTP/SSL)?,并且?SSO?都只有一个登录入口。 ???????简单的?SSO?的体系中,会有下面三种角色: ?????? 1?,?User?(多个) ?????? 2?,?Web?应用(多个) ?????? 3?,?SSO?认证中心(?1?个) ???????虽然?SSO?实现模式千奇百怪,但万变不离其宗: l?????????Web?应用不处理?User?的登录,否则就是多点登陆了,所有的登录都在?SSO?认证中心进行。 l?????????SSO?认证中心通过一些方法来告诉?Web?应用当前访问用户究竟是不是张三?/?李四。 l?????????SSO?认证中心和所有的?Web?应用建立一种信任关系,?SSO?认证中心对用户身份正确性的判断会通过某种方法告之?Web?应用,而且判断结果必须被?Web?应用信任。 2. CAS?的基本原理 ?????? CAS(Central Authentication Service)?是?Yale?大学发起的一个开源项目,据统计,大概每?10?个采用开源构建?Web SSO?的?Java?项目,就有?8?个使用?CAS?。对这些统计,我虽然不以为然,但有一点可以肯定的是,?CAS?是我认为最简单实效,而且足够安全的?SSO?选择。 ???????本节主要分析?CAS?的安全性,以及为什么?CAS?被这样设计,带着少许密码学的基础知识,我希望有助于读者对?CAS?的协议有更深层次的理解。 2.1 CAS?的结构体系 从结构体系看,?CAS?包含两部分: l?????????CAS Server CAS Server?负责完成对用户的认证工作,?CAS Server?需要独立部署,有不止一种?CAS Server?的实现,?Yale CAS Server?和?ESUP CAS Server?都是很不错的选择。 CAS Server?会处理用户名?/?密码等凭证?(Credentials)?,它可能会到数据库检索一条用户帐号信息,也可能在?XML?文件中检索用户密码,对这种方式,?CAS?均提供一种灵活但同一的接口?/?实现分离的方式,?CAS?究竟是用何种认证方式,跟?CAS?协议是分离的,也就是,这个认证的实现细节可以自己定制和扩展。 l?????????CAS Client CAS Client?负责部署在客户端(注意,我是指?Web?应用),原则上,?CAS Client?的部署意味着,当有对本地?Web?应用的受保护资源的访问请求,并且需要对请求方进行身份认证,?Web?应用不再接受任何的用户名密码等类似的?Credentials?,而是重定向到?CAS Server?进行认证。 目前,?CAS Client?支持(某些在完善中)非常多的客户端,包括?Java?、?.Net?、?ISAPI?、?Php?、?Perl?、?uPortal?、?Acegi?、?Ruby?、VBScript?等客户端,几乎可以这样说,?CAS?协议能够适合任何语言编写的客户端应用。 2.2 CAS?协议 ???????剖析协议就像剖析设计模式,有些时候,协议让人摸不着头脑。?CAS?的代理模式要相对复杂一些,它引入了一些新的概念,我希望能够在这里描述一下其原理,有助于读者在配置和调试?CAS SSO?有更清晰的思路。 如果没记错,?CAS?协议应该是由?Drew Mazurek?负责可开发的,从?CAS v1?到现在的?CAS v3?,整个协议的基础思想都是

文档评论(0)

精华文库 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

版权声明书
用户编号:7111022151000002

1亿VIP精品文档

相关文档