单点登扫盲.docVIP

单点登录SSO简介SSO英文全称Single Sign On， HYPERLINK /view/993620.htm \t _blank 单点登录。SSO是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制。它是目前比较流行的企业业务整合的解决方案之一。CAS简介耶鲁大学开发的单点登录（Single Sign On）系统称为CAS（Central Authentication Service），是一个独立于平台的，易于理解的开源软件，支持代理功能。Spring Framework的Acegi安全系统支持CAS，并提供了易于使用的方案。SSO需求SSO涉及不同层面的需求SSO的实质是多套系统能否识别同一用户的身份，并在各套系统间实时同步用户身份信息，以支持各套系统进行用户权限控制。基于这样的原因，一套SSO技术至少应该考虑一下四个层面的需求：1、???单点登录，多点即可同时登录；2、???单点注销（退出登录），多点即可同时注销；3、???单点切换用户，多点即可同时切换；4、???单点登录过期，多点同时过期。SSO的两种架构与三种实现技术集中验证模式当应用系统需要登录时，统一交由验证服务器完成登录动作，应用系统不提供登录接入（如登录界面）。相对与多点验证模式来说，集中验证模式的适用范围更广，而且在SSO服务器中使用的是统一的用户名密码，用户无需关注登录的是哪套系统的账套，所以用户体验更加优秀。由于所有的登录都放在了统一的服务器，所以当集中验证服务器宕机时，所有系统无法正常登录，或丢失SSO的功能，建议以独立服务器作为集中验证服务器，并需要保证登录服务器的稳定性。多点验证模式应用系统供各自的登录界面，登录了一套系统后，另外其他系统无需再次登录即可通过身份验证。 ?在多点验证模式的模式下，所有的登录操作都在应用系统完成，任何一套系统宕机不会对其它系统产生影响，也不会影响正常运行系统间的SSO。但若各套系统的账套不一样的时候，若要用户区分每套系统的用户密码，必定会降低用户的体验，为了解决该问题，多点登录模式最好有统一的用户密码验证的服务（如LDAP身份验证）。另外，多点登录模式相对集中验证模式来说会存在更多的技术限制，详见后面的章节。从SSO在技术实现的角度，SSO的实现通常有以下三种技术实现途径：代理登录（agent）、令牌环（token）、身份票据（ticket）。代理登录（agent）代理登录的原理就是在IE端通过表单提交的方式模拟应用系统的登录操作，实现SSO。?代理登录的优点就是无需对原有系统做任何改造，适用于无法改造的旧系统；其缺点很明显：1、稳定性差，一旦登录期间某台服务器无法响应，则该服务器无法单点登录。2、安全性差，用户名密码通过明文传输。3、由于登录期间需要监控各个系统的响应，所以不建议大量使用，否则会影响登录的性能。4、由于IE的安全限制，代理登录必须在同域的情况下运行。?令牌环（token）通过Cookie共享令牌环的方式传递当前用户信息，实现SSO。（令牌环类似IBM的LTPA Token，IBM系列产品间能实现配置式SSO，就依靠此技术。如IBM??Websphere Portal Server与Lotus Domino Server之间的SSO）??令牌环的方式最大好处在于无需统一的验证服务器，是“多点验证模式”的主力实现技术，各个服务器都通过统一的密钥对令牌进行加密解密，所以该方式具有安全性高、稳定性好、性能消耗低等优点；其缺点就是必须保证各台应用服务器同域。身份票据（ticket）与令牌环不一样，身份票据是通过URL的方式传递，通过“两次握手”的方式，实现SSO。（如开源的CAS就是这种原理）?身份票据的方式，是适用范围最广的一种SSO实现方式，可以解决跨域等问题，安全性高、稳定性好；其缺点就是必须增加一台验证服务器，保证在高压下验证服务器的稳定运行，性能方面由于每次登录都需要访问验证服务器，所以比令牌环的方式略差一点。WKeytool使用：生成一个证书库：keytool -genkey -alias server -keysize 512 -keyalg RSA -validity 365 -keystore ./cacertsps：包含一条数据别名为server，秘钥长度为512（weblogic8只支持到512，默认1024），加密方式为RSA，证书有效时间365天，秘钥库名称cacerts导出证书keytool -export -alias server -keystore ./cacerts -file ./server.crtps：将cacerts证书库中，别名为server的证书导出到文件server