久久久网中文字幕_精品国产电影自在免费观看_中文字幕电影亚洲精品_亚洲色精品Aⅴ一区区三区

現(xiàn)在的大型分布式項(xiàng)目，基本都會(huì)考慮實(shí)現(xiàn)單點(diǎn)登錄，而且現(xiàn)在網(wǎng)上也有很多單點(diǎn)登錄的實(shí)現(xiàn)方案、開(kāi)源項(xiàng)目，但是針對(duì)單點(diǎn)登錄的實(shí)現(xiàn)原理，講解的并不是很細(xì)。大家可以參考其他開(kāi)源案例項(xiàng)目，再結(jié)合本系列文章，可以對(duì)單點(diǎn)登錄有較為深入的認(rèn)識(shí)。

 

如果你對(duì)單點(diǎn)登錄是什么也不知道，那就先看本文，了解單點(diǎn)登錄的含義吧。

 

一. 單點(diǎn)登錄

 

1. 產(chǎn)生背景

 

很早的時(shí)候，一家公司里可能只有一個(gè)Server，后來(lái)慢慢的Server開(kāi)始變多了，而每個(gè)Server都要進(jìn)行注冊(cè)登錄，退出的時(shí)候又要一個(gè)個(gè)退出，用戶體驗(yàn)很不好！

 

比如，我們想訪問(wèn)百度系列，要登錄百度知道、百度新聞、百度貼吧、百度圖冊(cè)......百度旗下的每一個(gè)產(chǎn)品，我們都分別注冊(cè)一次賬號(hào)，都分別登陸一次，都分別退出登錄，這樣一個(gè)一個(gè)Server去操作，可能會(huì)讓人抓狂。

 

那么有沒(méi)有辦法，優(yōu)化這樣的登錄體驗(yàn)?zāi)?？比如：一個(gè)公司名下的任意服務(wù)只需一次注冊(cè)，登錄的時(shí)候只要一次登錄，退出的時(shí)候只要一次退出。如果可以實(shí)現(xiàn)這樣的需求，用戶體驗(yàn)是不是會(huì)有很大的提升？那么該用什么實(shí)現(xiàn)呢？

 

2. 多系統(tǒng)中的登錄實(shí)現(xiàn)方案

 

想在多系統(tǒng)項(xiàng)目中實(shí)現(xiàn)登錄，目前有2種可行的實(shí)現(xiàn)方案：

 

同域名下共享Cookie

 

單點(diǎn)登錄

 

3. 共享Cookie方案的缺陷

 

雖然同域名下共享Cookie的方式，可以在一定程度上解決多系統(tǒng)中的登錄問(wèn)題，但是該方案存在眾多局限性，如下：

 

應(yīng)用的群域名必須統(tǒng)一；

 

應(yīng)用群中各系統(tǒng)使用的Web技術(shù)(至少是Web服務(wù)器)要相同，否則cookie中key的名稱(Tomcat為JSESSIONID)不同，無(wú)法維持會(huì)話；

 

共享Cookie的方式無(wú)法實(shí)現(xiàn)跨語(yǔ)言技術(shù)平臺(tái)登錄，比如無(wú)法在Java、PHP、.Net等之間共享Cookie；

 

Cookie本身也不安全。

 

4. SSO的概念

 

單點(diǎn)登錄(Single Sign On)，簡(jiǎn)稱為SSO，是目前比較流行的企業(yè)業(yè)務(wù)整合的解決方案之一。SSO是指在多應(yīng)用系統(tǒng)中，用戶只需要在某一個(gè)應(yīng)用上登錄一次，就可以同時(shí)在所有相關(guān)又彼此獨(dú)立的系統(tǒng)中共享登錄態(tài)。

 

即只登錄一次，就能訪問(wèn)所有相互信任的應(yīng)用系統(tǒng)，在其他所有系統(tǒng)中也都得到了授權(quán)而無(wú)需再次登錄。另外用戶也只需要退出一次，即可退出所有其他可信的服務(wù)。所以SSO包括單點(diǎn)登錄與單點(diǎn)注銷(xiāo)兩部分。

 

5. SSO的優(yōu)點(diǎn)

 

單點(diǎn)登錄降低了用戶的登錄成本；

 

統(tǒng)一了不同系統(tǒng)之間的賬號(hào)體系；

 

減少了各個(gè)系統(tǒng)在用戶設(shè)計(jì)上付出的精力。

 

6. 使用場(chǎng)景

 

一般每個(gè)單獨(dú)的系統(tǒng)都會(huì)有自己的安全體系和身份認(rèn)證系統(tǒng)。在整合以前，進(jìn)入每個(gè)系統(tǒng)都需要進(jìn)行登錄，這樣的局面不僅給管理上帶來(lái)了很大的困難，在安全方面也埋下了重大的隱患。下面是一些著名的調(diào)查公司顯示的統(tǒng)計(jì)數(shù)據(jù)：

 

用戶每天平均要花 16 分鐘在身份驗(yàn)證任務(wù)上 - 資料來(lái)源：IDS

 

頻繁的 IT 用戶平均有 21 個(gè)密碼 - 資料來(lái)源：NTA Monitor Password Survey

 

49% 的人寫(xiě)下了其密碼，而 67% 的人很少改變它們

 

每 79 秒出現(xiàn)一起身份被竊事件 - 資料來(lái)源：National Small Business Travel Assoc

 

全球欺騙損失每年約 12B - 資料來(lái)源：Comm Fraud Control Assoc

 

在使用“單點(diǎn)登錄”整合后，只需要登錄一次就可以進(jìn)入多個(gè)系統(tǒng)，而不需要重新登錄。這不僅僅帶來(lái)了更好的用戶體驗(yàn)，更重要的是降低了安全的風(fēng)險(xiǎn)和管理的消耗。請(qǐng)看下面的統(tǒng)計(jì)數(shù)據(jù)：

 

提高 IT 效率：對(duì)于每 1000 個(gè)受管用戶，每用戶可節(jié)省$70K；

 

幫助臺(tái)呼叫減少至少1/3，對(duì)于 10K 員工的公司，每年可以節(jié)省每用戶 $75，或者合計(jì) $648K；

 

生產(chǎn)力提高：每個(gè)新員工可節(jié)省 $1K，每個(gè)老員工可節(jié)省 $350 資料來(lái)源：Giga；

 

ROI 回報(bào)：7.5 到 13 個(gè)月 資料來(lái)源：Gartner

 

另外，使用 “單點(diǎn)登錄” 還是SOA微服務(wù)時(shí)代的需求之一。在面向服務(wù)的架構(gòu)中，服務(wù)和服務(wù)之間，程序和程序之間的通訊大量存在，服務(wù)之間的安全認(rèn)證是SOA應(yīng)用的難點(diǎn)之一。

 

應(yīng)此建立“單點(diǎn)登錄”的系統(tǒng)體系能夠大大簡(jiǎn)化SOA的安全問(wèn)題，提高服務(wù)之間的合作效率。

 

7. 單點(diǎn)登錄執(zhí)行流程(重點(diǎn))

 

在單點(diǎn)登錄系統(tǒng)中，需要定義一個(gè)獨(dú)立的認(rèn)證中心，只有認(rèn)證中心才能接受用戶的用戶名密碼等安全信息，而其他系統(tǒng)并不提供登錄入口，只接受認(rèn)證中心的間接授權(quán)，間接授權(quán)通過(guò)令牌實(shí)現(xiàn)。

 

SSO認(rèn)證中心驗(yàn)證用戶的用戶名密碼時(shí)如果沒(méi)有問(wèn)題，則創(chuàng)建授權(quán)令牌。在接下來(lái)的跳轉(zhuǎn)過(guò)程中，授權(quán)令牌會(huì)作為參數(shù)發(fā)送給各個(gè)子系統(tǒng)，子系統(tǒng)拿到授權(quán)令牌，即得到了授權(quán)，可以借此創(chuàng)建局部會(huì)話，局部會(huì)話的登錄方式與單系統(tǒng)的登錄方式相同。

 

通過(guò)以上的SSO單點(diǎn)登錄執(zhí)行流程，我們可以得知，用戶登錄成功之后，會(huì)與SSO認(rèn)證中心及各個(gè)子系統(tǒng)之間建立會(huì)話。

 

用戶與SSO認(rèn)證中心建立的會(huì)話稱為全局會(huì)話，用戶與各個(gè)子系統(tǒng)建立的會(huì)話稱為局部會(huì)話，局部會(huì)話建立之后，用戶訪問(wèn)子系統(tǒng)受保護(hù)資源將不再通過(guò)SSO認(rèn)證中心。全局會(huì)話與局部會(huì)話有如下約束關(guān)系：

 

局部會(huì)話存在，全局會(huì)話一定存在；

 

全局會(huì)話存在，局部會(huì)話不一定存在；

 

全局會(huì)話銷(xiāo)毀，局部會(huì)話必須銷(xiāo)毀。

 

單點(diǎn)登錄涉及到SSO認(rèn)證中心與眾多子系統(tǒng)，各子系統(tǒng)與SSO認(rèn)證中心之間需要通信以交換令牌、校驗(yàn)令牌及發(fā)起注銷(xiāo)請(qǐng)求，因而各子系統(tǒng)必須集成SSO客戶端，SSO認(rèn)證中心則是SSO服務(wù)端，整個(gè)單點(diǎn)登錄過(guò)程實(shí)質(zhì)是SSO客戶端與服務(wù)端通信的過(guò)程。

 

8. 單獨(dú)注銷(xiāo)執(zhí)行流程(重點(diǎn))

 

在多應(yīng)用系統(tǒng)中，我們既然實(shí)現(xiàn)了單點(diǎn)登錄，自然也要單點(diǎn)注銷(xiāo)，即在一個(gè)子系統(tǒng)中注銷(xiāo)后，所有子系統(tǒng)的會(huì)話都將被銷(xiāo)毀。

 

SSO認(rèn)證中心會(huì)一直監(jiān)聽(tīng)全局會(huì)話的狀態(tài)，一旦發(fā)現(xiàn)全局會(huì)話被銷(xiāo)毀，監(jiān)聽(tīng)器將通知所有注冊(cè)系統(tǒng)執(zhí)行注銷(xiāo)操作。

 

二. CAS單點(diǎn)登錄系統(tǒng)

 

1. CAS概念

 

前文我們給大家介紹過(guò)，如果在一個(gè)企業(yè)旗下的所有系統(tǒng)都使用同一的頂級(jí)域名，其實(shí)實(shí)現(xiàn)單點(diǎn)登錄也挺簡(jiǎn)單，我們只需要將Cookie的domain域設(shè)置為頂級(jí)域名，在服務(wù)器端進(jìn)行會(huì)話共享即可。但是現(xiàn)實(shí)中并沒(méi)有這么理想的狀態(tài)，一般實(shí)現(xiàn)單點(diǎn)登錄的成本是比較高的，接下來(lái)我給大家介紹一個(gè)實(shí)現(xiàn)單點(diǎn)登錄的開(kāi)源項(xiàng)目CAS，可以大大降低實(shí)現(xiàn)單點(diǎn)登錄的難度和開(kāi)發(fā)成本。

 

CAS(Central Authentication Service)，即中心認(rèn)證服務(wù)系統(tǒng)。在CAS系統(tǒng)中，分為CAS Server與CAS Client兩部分，CAS Server是單點(diǎn)登錄系統(tǒng)中負(fù)責(zé)驗(yàn)證的服務(wù)端，CAS Client是CAS Server登錄態(tài)的客戶端。

 

2. CAS的核心概念(重點(diǎn))

 

在CAS系統(tǒng)中有三個(gè)重要的術(shù)語(yǔ)：

 

Ticket Grantfng Ticke(TGT)：這是用戶登錄后生成的票根，包含用戶的認(rèn)證身份、有效期等信息，存儲(chǔ)于CAS Server中，類(lèi)似于我們常見(jiàn)的服務(wù)器會(huì)話；

 

Ticket Granted Cookie(TGC)：這是存儲(chǔ)在Cookie中的一段數(shù)據(jù)，類(lèi)似于會(huì)話ID，用戶與CAS Server進(jìn)行交互時(shí)，幫助用戶找到對(duì)應(yīng)的TGT；

 

Service Ticket(ST)：這是CAS Server使用TGT簽發(fā)的一張一次性票據(jù)，CAS Client 使用ST與CAS Server進(jìn)行交互，以獲取用戶的驗(yàn)證狀態(tài)。

 

3. CAS單點(diǎn)登錄執(zhí)行步驟(重點(diǎn))

 

CAS單點(diǎn)登錄的完整步驟如下：

 

（1）用戶先通過(guò)瀏覽器訪問(wèn)CAS Client程序的某個(gè)頁(yè)面，例如http://cas.client.com/me；

 

（2）當(dāng)CAS Client判斷用戶需要進(jìn)行身份認(rèn)證時(shí)，會(huì)攜帶service作為請(qǐng)求參數(shù)，并返回302狀態(tài)碼，指示瀏覽器重定向到CAS Server端，例如 http://cas.server.com/?service=http://cas. client.com/me.service，service是用戶的原訪問(wèn)頁(yè)面；

 

（3）然后瀏覽器利用 service 重定向到CAS Server；

 

（4）CAS Server 獲取并校驗(yàn)用戶cookie中攜帶的TGC，如果成功，則身份認(rèn)證完成；否則將用戶重定向到CAS Server 提供的登錄頁(yè)，例如 http://cas.server.com/login?service=http://cas. client.com/me，由用戶輸入用戶名和密碼，完成身份認(rèn)證；

 

（5）如果用戶已經(jīng)登錄過(guò)系統(tǒng)，那么CAS Server可以直接獲取用戶的TGC，并根據(jù)TGC找到TGT。如果是首次登錄，則CAS Server 會(huì)首先生成TGT。每次驗(yàn)證時(shí)，CAS Server 會(huì)根據(jù) TGT簽發(fā)一個(gè)ST，并把ST拼接在service參數(shù)中，同時(shí)將相應(yīng)的TGC設(shè)置到用戶的cookie中(域?yàn)镃AS Server)，并返回302 狀態(tài)碼，指示瀏覽器重定向到 service，例如 http://cas.client.com/me?ticket=XXX；

 

（6）瀏覽器存儲(chǔ)TGC，并攜帶ST重定向到service；

 

（7）CAS Client取得ST(即請(qǐng)求參數(shù)中的ticket)后，會(huì)向CAS Server請(qǐng)求驗(yàn)證該ST的有效性；

 

（8）若CAS Server驗(yàn)證該ST是有效的，就告知CAS Client該用戶有效，并返回該用戶的信息。

 

CAS Client在獲取用戶信息時(shí)，可以使用session的形式管理用戶會(huì)話。后續(xù)的交互請(qǐng)求不再需要重定向到CAS Server，CAS Client直接返回用戶請(qǐng)求的資源即可。