使用CAS做为SSO的性能问题讨论.docVIP

使用CAS做为SSO的性能问题讨论。 最近有个项目使用了开源的CAS做为SSO，看了一些资料之后觉得它某些方面还是相当优秀的。 它的实现原理是这样的： 假设用户在访问/tp之前需要验证身份，我们把用户从/tp重定向到下面的Login URL： ?????? /cas/servlet/login?service=/tp/authenticate.jsp JSP页面authenticate.jsp是网站资源的一部分。一旦完成了上面描述的初步身份验证，CAS用下面的URL重定向用户浏览器到这个JSP页面： ?????? /tp/authenticate.jsp?ticket=opaque-ticket-string ?????? 一旦收到请求，authenticate.jsp页面需要校验这个收到的ticket，它把tickect传送Validation URL（如/cas/servlet/validate）。authenticate.jsp页面需要使用JSSE向Validation URL发送请求并读取数据。当生成这个请求时，authenticate.jsp页面还需要把先前的service ID用service的参数名传送给Validation URL，例子如下： ?????? /cas/servlet/validate?ticket=Tservice=S ?????? 当CAS从Validation URL收到这个ticket，它检查自己内部数据库，看看是否保存过这个ticket。如果数据库有这个ticket，则进一步检查数据库中和ticket关联的service是否和刚收到的service相匹配。如果匹配，则向请求验证身份的应用URL返回NetID；否则拒绝验证这个请求。 在当在线用户达到几千万级时，这样的反反复复的redirect（就是无数次的http请求与应答）还有它的内部数据库，是否存在严重的性能问题？？ [原创]S3O:一个简单的单点认证系统(一) ? 最近写了一个简单的单点认证系统(更喜欢称它为组件) 由于刚涉及sso不久,对他还不是很了解(不了解也敢写组件? 呵呵 见笑了) 所以问题再所难免,系统大家能够给予指正和帮助,先谢谢了. 下面贴一下简单的说明文档, 里面不牵涉技术细节,只是我对它的一个简单的描述 看看设计上有什么地方需要改进没 在过几天,根据大家对它的建议和意见 做些改善后 再把代码和详细的使用配制方法贴上来. (比较长 不好意思了) ========================================== 组件名称:S3O 一套轻量级的、简单易用的、高效的单点认证系统。 当然同样具有一定的安全性,也支持跨域。 S3O: Simple Single Sign-On ---- SSSOS 一个简简单单的单点认证组件, 既然 WWWC 叫做 W3C ,那自然SSSO也可以叫S3O了 ===================================== 系统特性： ===================================== 1 基于http协议 2 支持跨域认证 3 各个子应用采用自己的登录入口，并且拥有独立的授权模块 4 支持子应用间的同步 5 重要信息加密后，通过hessian传递，并使用一次性ticketKey，安全性可以得到一定的保障。 6 绝对轻量级 7 基本原理应该（因为我没读过CAS的源代码，只看过一些相关文章，所以不敢肯定）类似CAS的基本模式(而不是它的代理模式). ? ( 当然要比CAS简单while(true){很多}了。 ) 8 基于spring 和 hessian技术构建。缓存采用ehcache。 ===================================== 术语解释： ===================================== 子应用： 就是需要提供单点登录的各个应用。 认证中心： 单点登录的认证中心。它也是个web应用。 可以把它理解为一个存放用户名和密码的公共空间， 各个子应用可以从它这里取用户名和密码，然后调用各自的授权模块对用户进行授权。 在该单点登录系统中，认证中心并不提供授权服务。 认证中心在客户端的cookie: 用于存放ticket的cookie。各个子应用的cookie不能在跨域的子应用之间共享，所以需要认证中心的cookie存放数据。 ticket: 认证中心生成的一个具有唯一性的标识，作为键，用来在认证中心缓存中保存登录用户的信息 同时ticket还将存放在认证中心在浏