① 谈谈单点登录
寒假学习的小课题,把之前的笔记整理整理记录一下(长文警告)因为当时看到的东西涉及很多,所以有一些地方没有深入去探讨。
网络:单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。
简而言之就是用户在多个相互信任的应用系统中,只需要登录一次,就可以访问其他相互信任的应用系统。这里的关键是一次登录,以及一次退出,都对所有的系统生效。
在普通的登录中,比如典型的B/S情景,浏览器访问服务器,发送登录请求,在发送完用户名和密码之后,服务器会生成该用户的session来标准该用户的状态,比如已登录还是已注销,并给一个cookie给浏览器,因此,用户继续访问就会带上这个cookies,服务端会根据这个Cookie找到对应的session,通过session来判断这个用户的登录状态。比如php中使用phpsessid。当然也可以自定义session的生命周期,session的生命周期过长的话一旦session被盗用就会出现用户被窃取的情况。同时,生命周期过长的session配置会占用较多的服务器资源。
单点登录主要针对同平台下多应用,多系统的情景下多次登录的一种解决方案。单点登录相当于将多个应用的认证体系联通。
假设现在一个平台上有3个都带有登录功能的应用,由上面的普通登录的情况可以想到,这3台服务器都会自己的记录session。那么要想达到单点登录,一个最简单的方法就出现了:共享session。
共享session的方式来实现单点登录是最方便也是最直接的。在三个子系统中,使用同一个额外的记录session的服务器,比如我们可以使用一个redis服务器来存储三个系统的session。
用户登录了应用1,获取了应用1返回的cookies,再次访问应用1的其他功能的候携带了cookie就是已登录的状态了,但是这样又有新的问题,虽然实现了共享session,但是用户登录了应用1,获取了应用1返回的cookie,但是因为cookie是无法跨域的,因此用户无法使用应用1的cookie去访问应用2。这里我们就需要将系统的全局cookie domain的属性设置为顶级域名,比如应用1的域名是1.test.com,应用2的域名是2.test.com。在普通登录的情况下,应用1的cookie domain的属性是1.test.com,指这个cookie只能在该子域名上被使用。我们将系统的全局cookie domain设置为顶级域名,即.test.com,这样就可以实现用户登录了应用1,之后可以以已登录状态访问应用2和3。
上面的共享session的情况是三个应用都有登录功能,还有一种类似的情况是应用1和应用2都有登录模块和其他模块,还有一个单独的SSO系统,是仅有登录模块的:
共享session的方法虽然简单,但是存在局限性,因为使用了cookie顶域的特性,所以不能做到跨域。一个公司或者一个平台很可能不是所有的域名都在在一个一级域名之下的,所以同域名下的单点登录并不是完整的单点登录。
先说说openid,openid是一种认证标准,规定如何认证的标准!即其关注的是登录时身份的认证。官方给出的一个场景,其中一方是一个openid身份服务器,用来存放注册好的openid账号,另一方是受这个openid身份服务器信赖的服务或应用。openid协议就是提供openid身份服务器和被信赖的服务或应用之间的通信的。比如我们在很多网站上可以使用QQ登录,这里的腾讯的QQ就是openid的身份服务器,我们所要登录的网站就是受信赖的服务或应用。
在使用openid实现单点登录的方法有很多,可以使用上面共享session的方法,即把openid带在cookie里面,但是这样也会出现一样的cookie跨域的问题。
在实际场景中,我们在访问提供服务的应用时检测到未登录就会直接跳转到openid身份服务器,或者没有重定向而是在登录表单附近点击选择使用第三方openid登录,进行账号密码登录(这可以保证我们所登录的服务器无法获取我们的敏感身份认证信息),具体流程如下:
CAS全称为Central Authentication Service即中央认证服务,是一个企业多语言单点登录的解决方案,并努力去成为一个身份验证和授权需求的综合平台。CAS就是一个现成的单点登录的demo,企业只需要简单修改就可使用。
CAS支持各种协议,SAML,OAuth,OpenID,OIDC等等,支持LDAP,Radius,JWTX,509等等进行身份认证和授权,还有各种常用语言的客户端,Java,PHP,C# 等等。反正就是一个十分完整的,兼容性特别好的SSO框架。
简单了解CAS是如何实现单点登录的。在官网上可以看到其给出的一个 流程图 ,。这个图说的特别详细,一下就能看懂,直接原图上进行标注查看:
学习了上面几种单点登录的知识,结合实际场景可知,跨域单点登录才是真正的单点登录,因为实际情况下很多平台或者域名不可能都在一个一级域名下。在解决跨域单点登录的问题的时候,上面也给说了几种方式,但是究其根本,就是利用一个SSO认证中心来实现认证与授权的。当然,也会有其他的解决跨域单点登录的方案,但是大体流程都与cas类似。
比如在上图的11步骤,也可使用POST包,或者JSONP和iframe方法来跨域发送请求进行重定向。
在利用认证中心来实现单点登录是现在比较普遍的解决方案,那么有没有不需要使用认证中心来解决跨域单点登录的方案呢?
利用JSONP同步登录状态,大概流程流程如下:
在学习单点登录的过程中,在其中认证的过程中授权令牌的传递等相关信息没有特别详细的说明,而且在思考单点登录的时候也会有想过一个比较矛盾的问题:单点登录的目标是为了让用户可以在相互信任的系统中一次登录即可,但是如果真的是做到所有用户都可以访问所有系统,岂不是会带来越权的问题,是否需要对不同的用户以不同的授权,甚至限制访问的应用,但是这样是不是就不是原本狭义的单点认证?
在说单点登录的认证和授权之前,先谈一谈我一直想弄清楚的统一身份认证和单点登录的区别。说起单点登录可能很少听过,但是统一身份认证肯定不陌生,不管是企业还是高校都会有这种统一身份认证的系统。
统一身份认证最重要的一方面就是身份认证,另一方面就是和身份认证相关的授权控制,权限控制。而单点登录是多应用一次登录,也可以叫统一登录,可以理解为主要在认证方面。对于统一身份认证来说会有账号管理,如LDAP,认证管理OAuth,SMAL等,因此我觉得,统一身份认证一般是包括狭义的单点登录,狭义的单点登录,即只需要满足多应用一次登录即可。但是现在的单点登录,SSO系统并不仅仅是要求这些,他的范围正在慢慢扩大。
单点登录的认证和授权,前面说到的CAS实现单点登录里就会看到需要ticket来进行认证,授权。CAS支持多种认证方案,比如OAuth,OpenID,SAML等等,我们可以来比较比较用这些协议的区别,或者说是在哪些场景下使用哪些认证方案较为合适。本身单点登录是没有权限控制的功能的,但是因为这些认证协议的需求,自然支持了权限控制。
在使用SAML进行认证的过程中,可以看到下图,其是基本流程都差不多,这里需要注意的就是在用户在认证中心成功登陆之后,重定向的时候返回的是一个SAML token,一个XML节点,这里的token会包括用户的身份信息,用户名等。
在OAuth2.0的标准中流程是和上面的基本相同,但是OAuth2因为客户端并没有一点是浏览器,所以token中默认是没有签名的。这里可能没有体现出来,OAuth2的目标是授权,所以token更关注的是权限,token在向认证服务器验证的时候就会有不同的授权,但是既然是授权,就间接实现了认证。
在传统的认证中都是基于session机制的,具体的session模式上面也说了,根据其特性可知session的一些确定:
https://www.mutuallyhuman.com/blog/choosing-an-sso-strategy-saml-vs-oauth2/
https://yq.aliyun.com/articles/636281
https://juejin.im/post/5d0dbb7e6fb9a07f0420512d
② (急)如何用ASP.net语言配置单点登录cas-Client客户端
你指的是要做成单点登录需要进行哪些程序的限制吗?如果是的话,要考虑一下几个方面的问题。
在数据库中设立一张表,相当于用户登录表,如果用户登录了,就在该表中记录该用户登录的时间和IP地址,并将状态更改为登录。
其它地方再次通过该用户登录的时候判断该用户是否已经登录,如果登录,向登录端发送消息,告诉它您的账号在其它地方登录,同时增加新的用户登录信息。(这个是允许用户在其它地方登录的情况,如果其它地方登录,那么强制让本地登录的用户下线。)
如果不让其它地方登录,那么就告诉他该用户已经登录,您不能再登录。但是这个有个问题要注意,如果本地用户是被强制退出(例如断电),没有来及更改用户状态,那么这个用户可能一直处于登录状态。应该还有个服务程序定期的遍历用户,判断哪些用户已经下线。
③ CAS4.2单点登录如何配置多个系统登录一次和退出到登录页问题
问题1:hhaip-cas1.com、hhaip-cas2.com和hhaip-secure.com的IP分别是什么?如果都是127.0.0.1,那端口号得错开,不能全部8080;如果不一样,那从这个配置文件看不出问题,只能后台瞧一下日志,看访问app2的时候ServiceTicket为什么没有生产,TGT为什么被销毁
问题2:使用HTTP就别指望本地能正常退出了,换HTTPS吧
④ 我用CAS做单点登录出来的错误,哪个帮忙解决一下
1、把虚拟内存(页面文件)转移到安装XP以外的其他分区D或E……。方法是:右击我的电脑—属性—高级—性能设置—高级—虚拟内存更改—点选C盘—单选“无分页文件(N)”—“设置”,此时C盘中的虚拟内存就消失了;然后选中D盘,单选“自定义大小”—在下面的“初始大小”和“最大值”两个文本框中输入数值—“设置”—确定—重启,便完成了设置。
2、关闭休眠。单击“开始”--“控制面板”--“电源管理”--“休眠”,将“启用休眠”前的勾去掉。
3、关闭系统还原。单击“开始”--“所有程序”--“附件”--“系统工具”—“系统还原”,在系统还原界面,勾选“在所有驱动器上关闭系统工程还原”-确定。
⑤ 360极速浏览器使用cas单点登录慢解决办法
360极速浏览器使用cas单点解决办法:
1、打开360极速浏览器,点击浏览器右上方“自定义和控制360极速浏览器”图标,在下方的菜单中点击打开“选项”页面。
2、进入选项页面后看向左侧的菜单栏中,点击“高级设置”这一项切换到对应的设置页面。
3、在右侧的高级设置内容中可以看到“隐私设置”这一项,点击右侧的“清除上网痕迹”按钮。
4、在弹出的“清除上网痕迹”窗口中将“清除这段时间的数据”修改为全部,然后勾选“清除缓存”这一项,其它的选项则可以选择性的勾选,然后点“清除”按钮就可以将缓存清除了。
⑥ 使用cas单点登录之后相关问题怎么解决
安全证书是tomcat或者apache用于开启ssl安全的socket链接使用的,也就是支持https协议的。一般我们都用tomcat作为应用服务器,这样就需要tomcat首先支持https协议,开启https很简单,找一下官方的文档资料,我在这里简单说一下,首先在部署tomcat的机器上为jdk(确切的说是jre,不过通常我们都在tomcat的服务器上安装jdk而不是jre)生成证书,使用jre自带的keytool工具来生成即可,生成证书的过程中注意一点,就是CN项,也就是第一个字段,是服务器的域名,比如本机测试的话可以用localhost。使用以下语句
1. keytool -keystore keystore -alias acegisecurity -genkey -keyalg RSA -validity 9999 -storepass password -keypass password
What is your first and last name?(这个就是CN项)回答localhost即可
其他随便填写即可。
2. keytool -export -v -rfc -alias acegisecurity -file acegisecurity.txt -keystore keystore -storepass password
这一步是导出key。
3. 复制 acegisecurity.txt 到 %JAVA_HOME%\jre\lib\security
4. 复制 keystore 到 %CATALINA_HOME %
5. 控制台窗口(如果是Windows系统就是dos窗口)下进入 %JAVA_HOME%\jre\lib\security
6. keytool -import -v -file acegisecurity.txt -keypass password - keystore cacerts -storepass changeit -alias acegisecurity
向虚拟机中导入证书
接下来,用编辑器打开%CATALINA_HOME%/conf/server.xml,找到<Connector port="8443" maxHttpHeaderSize="8192"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" disableUploadTimeout="true"
acceptCount="100" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" />
这一行默认是被注释掉的,取消注释,并加入keystoreFile="keystore" keystorePass="password"这两个属性,注意keystoreFile属性可以使用keystore文件的绝对路径,也可使用基于%CATALINA_HOME%环境变量的相对路径,keystorePass是访问keystore的密码,应和上面制作证书时设定的密码保持一致。
访问https://localhost:8443,应弹出一个对话框,告知用户正要访问的站点的证书不安全,是否接受,确认接受,应可看到那只熟悉可爱的小猫。
通过以上步骤就为tomcat配置了ssl。
配置了ssl,然后就是把cas server的war部署到这个tomcat下就可以了,到此,你的cas服务器就算部署成功了,但是,cas server那个war默认是使用user.properties中的那么几个用户做认证,要实现不同类型的认证方式还需要自己开发,这里不具体讲了,可以参考官方文档,也可以问我。呵呵:)
部署了cas服务,接下来就是接入client application了。
接入application有三种方式,一种是使用acegisecurity,很好用,但是很复杂;一种是使用cas提供的cas client,简单快捷,适应各种恶劣环境,哈哈;最后一种是lam的一个开源项目,没试过,不敢说怎么样。前两种不明白可以找官方文档,也尅问我,哈哈。
就第一个问题说的较详细,实在打字太多,有点累了。后面的有点粗糙,不过对于有心的人我相信还是很受用的。总结了很久的东西,希望对你有帮助。
⑦ cas单点登录流程
第一步:访问cas过滤链接ssoLogin,拼凑定向到 CAS_SERVER 获取ticket的URL
第二步:CAS_SERVER校验用户信息,生成Ticket
第三步:重新定向到访问客户端的ssoLogin并附加Ticket参数和值
第四步:根据传来的Ticket拼凑定向到CAS_SERVER的连接去校验Ticket的合法性
第五步:CAS_SERVER校验成功后,会返回XML报文并重新定向到访问客户端的ssoLogin
解析该XML报文,构造用户信息对象存储在session中
然后根据ssoLogin设置的loginSuccessUrl跳转到登录成功后的访问页面
⑧ CAS 单点登录问题(求大神解答)
token服务器是不是应用服务器,如果不是,注意token的更新。
⑨ cas单点退出
帮你找到这个包了。
http://www.ja-sig.org/downloads/cas-clients/cas-client-3.1.1-release.zip
cas 认证服务参考这个站点
http://www.ja-sig.org/procts/cas/