SSO和反向代理技术介绍.ppt

用户认证过程 用户漫游过程 认证和漫游接口 Java接口 C接口 PHP接口 ASP接口 Notes接口 SSO的其他实现方式 安全上下文 Windows域 使用同域内cookie方式 安全性不好 其他简易做法 使用对称密钥 反向代理系统 目的 解决基于IP地址认证资源的访问 背景 图书馆论文保护 教育用－商用是侵权的行为，很难区分用户的真正用途 不完全禁止下载 只防范大批量的恶意下载 分析用户的行为 要求可以追查到人而不是某个IP 自动分析用户行为，并做出统计 用户不必对客户机做额外的配置 论文服务器图书馆没有权限管理，因而不能把访问控制系统做在服务器端，必须外挂。 清华门户系统代理 门户系统很多内容限制在校外访问 门户系统可以识别校内外 背景 解决方案 使用正常的Web代理 使用VPN技术 使用SSL VPN技术 解决方案存在的问题 用户设置不方便 可能需要安装控件 控制粒度不细致 不能很好的区分用户的行为 反向代理（1） 原理 从外观看来，也就是从普通用户看来，反向代理就像普通的WEB服务器一样。而反向代理所代理的每一个WEB服务器都好像是反向代理服务器中的一个目录。 反向代理也可以说是一个目录映射代理服务器，而不是端口映射代理服务器 反向代理（2） 举例 /index.html /~WACS//index.html /index.html /~WACSS//index.html 反向代理（3） 反向代理（4） 优点 客户端不必配置 用户可以使用正向代理访问 用户对其它网站的访问速度不受影响 缺点 要全文扫描并改写链接，对反向代理服务器要求较高 尚不能解决部分script的问题 Servlet接收层 认证层 Cache层 HTTP 发送层 HTTP 接收层 回复 改写层 Servlet 发送层 内容 过滤层 WEB服务器 客户机浏览器 请求 改写层 反向代理 反向代理结构 反向代理的关键技术（1） 地址改写 按照html和cookie的规范，用正则表达式解决，有比较成熟的技术 绝对地址（以http://或“/”打头），则把它改写成通过反向代理的格式。 绝对地址的改写经常会出现一些问题，例如js中的地址改写(“/”开头的地址)，采用了filter技术解决 原理：我们可以大致认为：某一次访问的网站应该和上一次的基本一致，如果我们不能知道这次访问的地址，就认为和上次的一样 相对地址不用改动 反向代理关键技术（2） Cookie改写 JSESSIONID=aHOYGWGME6f8会被改写成 _WA_0000JSESSIONID=aHOYGWGME6f8 其中_WA_是开头部分，固定 0000是网站标识，具体对应的哪个网站是由服务器端存储在用户的会话过程中的 Location改写 Referer改写 使用指南 可被代理地址： 服务器地址限制 可代理地址： 用户地址限制 黑名单、不受限用户、不受限IP、规则 图书馆使用，限制用户行为，防止过量下载 规则填写说明 使用正则表达式，常用的是.*，代表所有字符。可以使用括号、NOT、OR、AND等 纯Java实现，实施简单 谢谢！ SSO与反向代理技术介绍 清华大学计算中心 刘乃嘉 2008-05 SSO简介 SSO（Single Sign-On） 直译为一次登录 在用户访问网站时作一次身份认证，随后就可以对所有被授权的网络资源进行无缝的访问 单点登录、全网漫游 SSO样例清华信息门户——登录前 SSO样例清华信息门户——登录后 SSO样例清华信息门户—访问财务系统 SSO样例清华信息门户－访问教务系统 SSO样例清华信息门户－访问个人桌面 SSO的来源 应用系统越来越多 信息技术和网络技术迅猛发展 财务系统、办公自动化系统、决策支持系统、客户关系管理系统和网站发布系统等 身份认证和用户管理上出现了问题 用户必须记住每一个系统的用户名和密码 随着系统的增多，出错的可能性就会增加 安全性就会相应降低 受到非法截获和破坏的可能性也会增大 统一用户认证、单点登录概念出现 不断地被应用到企业应用系统中。 SSO的好处 减少登录耗费的时间 减少登录出错的可能性 避免了处理和保存多套系统用户的认证信息 减少了系统管理员增加、删除用户和修改用户权限的时间 增加了安全性 系统管理员有了更好的方法管理用户，包括可以通过直接禁止和删除用户来取消该用户对所有系统资源的访问权限 SSO实现的基础——统一用户管理 原因 如果用户信息不统一，系统就无法很好的做到身份的正确识别 传统应用系统运行模式 每个应用系统都拥有独立的用户信息管理功能 用户信息的格式、命名与存储方式也多种多样 当用户需要使用多个应用系统时就会带来用户信息同步问题 用户信息同步会增加系统的复杂性，增加管理的成本。