SSO单点登录系统,工厂网/iranw/2015-5-8,目录,概述,1,实现机制&原理,2,基于CAS验证的框架,3,CAS验证流程,4,5,安全论证,1.1 什么是SSO,SSO英文全称Single Sign On，单点登录(又称为单一签入/登入)。一种对于许多相互关连，但是又是各自独立的应用系统，提供存取控制的属性。当拥有这项属性时，当使用者登入时，就可以取得所有系统的存取权限，不用对每个单一系统都逐一登入。它是目前比较流行的企业业务整合的解决方案之一 相反的SSO也可也以理解为Single Sign Off，单点登出，也就是一处登出动作，就可以结束对多个系统的存取权限 一处登录、全网漫游,1.2 SSO的优势,减少用户在不同系统中登录耗费的时间，减少用户登录出错的可能性 实现安全的同时避免了处理和保存多套系统用户的认证信息 减少了系统管理员增加、删除用户和修改用户权限的时间 增加了安全性：系统管理员有了更好的方法管理用户，包括可以通过直接禁止和删除用户来取消该用户对所有系统资源的访问权限,1.3 什么是CAS,CAS = Central Authentication Service，中央认证服务，一种独立开始指令协议。CAS 是 Yale 大学发起的一个开源项目，旨在为 Web 应用系统提供一种可靠的单点登录方法，CAS 在 2004 年 12 月正式成为 JA-SIG 的一个项目。 CAS可以认为是一款针对 Web 应用的单点登录框架，也可以认为是一种协议 CAS特点 开源的企业级单点登录解决方案。 CAS Server 为需要独立部署的 Web 应用 CAS Client 支持非常多的客户端(这里指单点登录系统中的各个 Web 应用)，包括 Java、php、python等,2.1 SSO实现机制,SSO的实现机制不尽相同，大体分为Cookie(客户端)验证机制和Session(服务器端)验证机制两大类 Cookie认证是大众使用的用户验证方案(通过接口对每个域名下写cookie)-广播机制 demo(ucenter)： 共享Session(db，nosql等)验证。-共享机制,3.1 CAS中央验证架构,4.1 CAS验证流程,5.1 安全论证,SSO是所有应用的入口，所以SSO的安全性比所有应用安全性都重要 一切不以SSL方式登录的系统都是耍流氓。CAS 的安全性是一个非常重要的 Topic 。 CAS 从 v1 到 v3 ，都很依赖于 SSL ，它假定了这样一个事实，用户在一个非常不安全的网络环境中使用 SSO ， Hacker 的 Sniffer 会很容易抓住所有的 Http Traffic ，包括通过 Http 传送的密码甚至 Ticket 票据。一旦ticket被第三方获取，所有的权限都会被攻破 CAS的传输安全性紧紧依赖SSL（CAS认证中心必须使用https） Service Ticket 只能使用一次 Service Ticket 在一段时间内失效 Service Ticket 是基于随机数生成的(如果 Service Ticket 生成规则被猜出,Hacker 就等于绕过 CAS 认证，直接访问所有服务),6.1 Question,疑问？ 建议,Thank You 2015/5/8,