- 浏览: 215578 次
- 性别:
- 来自: 北京
文章分类
最新评论
-
foreach4:
haohao-xuexi02 写道xiang37 写道原来这么 ...
在路上 -
haohao-xuexi02:
xiang37 写道原来这么难!生活是自己的,人生很多时候,需 ...
在路上 -
xiang37:
原来这么难!生活是自己的,人生很多时候,需要拿得起,放得下。
在路上 -
xiang37:
坚强,原来那么难!
关于嘟嘟,引起的 -
heymaomao:
vi $PATH_resin/bin/httpd.sh arg ...
resin 的 java.lang.OutOfMemoryError: PermGen space 解决办法
原文:http://linliangyi2007.iteye.com/blog/165310
背景知识:
什么是SSO(Single Sign On)单点登录:
所谓单点登录是指基于用户/会话认证的一个过程,用户只需一次性提供凭证(仅一次登录),就可以访问多个应用。
目前单点登录主要基于Web的多种应用程序,即通过浏览器实现对多个B/S架构应用的统一账户认证。
JA-SIG(CAS)的设计愿景:
简单的说,CAS(Central Authentication Service – 中心认证服务)的目的就是使分布在一个企业内部各个不同异构系统的认证工作集中在一起,通过一个公用的认证系统统一管理和验证用户的身份。在CAS上认证的用户将获得CAS颁发的一个证书,使用这个证书,用户可以在承认CAS证书的各个系统上自由穿梭访问,不需要再次的登录认证。打个比方:对于加入欧盟的国家而言,在他们国家中的公民可以凭借着自己的身份证,在整个欧洲旅行,不用签证。对于企业内部系统而言,CAS就是这个颁发欧盟认证的系统,其它系统都是加入欧盟的国家,它们要共同遵守和承认CAS的认证规则。
因此CAS的设计愿景就是:
1。实现一个易用的、能跨不同Web应用的单点登录认证中心;
2。实现统一的用户身份和密钥管理,减少多套密码系统造成的管理成本和安全漏洞;
3。降低认证模块在IT系统设计中的耦合度,提供更好的SOA设计和更弹性的安全策略
CAS1.0服务架构实现:
传统的用户认证流程
我们以A公司的员工日志管理系统为例,如下图:
使用CAS后的用户认证流程
示意图中,CAS相关部分被标示为蓝色。在这个流程中,员工AT向日志系统请求进入主页面,他的浏览器发出的HTTP请求被嵌入在日志系统中的CAS客户端(HTTP过滤器)拦截,并判断该请求是否带有CAS的证书;如果没有,员工AT将被定位到CAS的统一用户登录界面进行登录认证,成功后,CAS将自动引导AT返回日志系统的主页面。
CAS的程序逻辑实现
要完成上述的认证业务,CAS需要一个认证中心服务器CAS -Server和嵌入在不同业务系统方的认证客户端CAS-Client的协同。
在CAS1.0协议中,CAS-Server提供的三个验证服务接口(web服务URL):
1. 用户登录URL,形如 https://casserver/cas/servlet/login
2. 用户凭证校验URL,形如 https://casserver/cas/servlet/validate
3. 用户登出URL,形如 https://casserver/cas/servlet/logout
在CAS-Client端,CAS提供了多样化的语言支持,其中用于java的是一个casclient.jar包。目前的版本为2.1.1,其中提供了三种形式的凭证校验:
1. 用于Java Servlets的Filter — edu.yale.its.tp.cas.client.filter.CASFilter
2. 用于JSP页面的CAS Tag Library
3. 通用Java API Object — ServiceTicketValidator / ProxyTicketValidator
通常,企业应用程序基于浏览器的B/S模式,这种情况下,系统的用户凭证(一个由CAS服务器生成的唯一 id号,也称之为ticket)借助cookie和URL参数方式实现;在B/S环境中,大多情况下,我们只需要配置CAS Filter或者使用CAS Tag Library就可以轻松实现的验证客户端。
如果应用是以普通的C/S模式运行,则需要应用程序自己来维护这个ticket在上下文环境中的传输和保存了。这时候就需要手工调用ServiceTicketValidator / ProxyTicketValidator对象的方法,向CAS 服务器提交认证,并获取认证结果进行相应的处理。
CAS服务的具体实现
环境假设:用户User要访问业务系统Biz;Biz系统部署在bizserver上;CAS的系统搭建在服务器casserver上。
图例说明:
Step1: 用户第一次访问Biz系统主页http://bizserver/index.jsp ;部署在Biz系统上的CASFilter发现用户尚未登录,将用户重定向的CAS登录界面 https://casserver/cas/servlet/login?service=http://bizserver/index.jsp ,同时在重定向的URL上用service参数将用户的目标地址传给CAS服务器。
Step2:用户在CAS的登录页上输入用户名密码登录,CAS服务器认证通过后,生成一个ticket,并带在目标地址的尾部返回客户端的浏览器redirect:http://bizserver/index.jsp?ticket=casticket.
Step3:客户端浏览器获得CAS服务器的认证应答,取得凭证ticket后,使用重定向的链接http://bizserver/index.jsp?ticket=casticket访问Biz服务
Step4: BizServer上的CASFilter再次过滤访问请求,并获得ticket凭证。Filter将使用该凭证通过URL https://casserver/cas/servlet/validate?service= http://bizserver/index.jsp &ticket=casticket 向CAS认证中心确认对应的服务请求和凭证是否有效。根据CAS服务器返回的结果,如果凭证有效,则CASFilter允许用户进入http://bizserver/index.jsp 所指向的页面;否则,再次重定向到https://casserver/cas/servlet/login?service=http://bizserver/index.jsp 上要求用户进行认证。
CAS2.0服务架构实现:
CAS2.0的协议主要是针对web应用的SSO功能增强的协议,它在1.0协议基础上扩展了Proxy Authentication(代理认证)能力。那么什么是Proxy Authentication呢?!
代理认证Proxy Authentication
假设有一下这样的应用场景:用户AT早晨来到公司,他的第一件事就是进入公司的Portal系统浏览一天的新咨询,如股票信息、天气情况、业界新闻。他通过CAS的身份认证登录了门户系统,看到了他订制的信息。之后,他要访问portal中的邮件信息,看看有没有新的邮件。这时候Portal系统必须访问他的IMAP服务器,这需要他的私人密码。我们知道Portal是通过CAS对AT进行认证的,因此Portal上没有AT的个人密码信息。这时,我们发现,Portal需要代表AT的身份向IMAP服务器提交身份认证,而这正是Proxy Authentication的作用。
CAS2.0系统架构中的角色
CAS2.0系统中的用到的凭证(ticket)
以上对于CAS2.0协议中用到的5种ticket的说明,乍看起来也许会让你云里雾里的。没关系,下面我们就来详细阐述这5种凭证在实际认证流程中的作用。在阐述具体流程前,我们要先关注一下2.0协议中对客户端配置的需求.
CAS2.0的客户端配置
在2.0协议中,CAS-Server端的配置与1.0基本一致。但在客户端上,多增加了一个call back URL,该URL用来提供server端向client端传输PGT时使用。因此,除了要配置edu.yale.its.tp.cas.client.filter.CASFilter作为认证过滤器外,还要配置edu.yale.its.tp.cas.proxy.ProxyTicketReceptor这个servlet,作为server回传PGT的call back URL,如下:
CAS2.0代理认证流程
以下的流程图模拟上述的用户AT通过Portal向他的IMAP邮件服务器请求电子邮件的认证过程。在该过程中,充当Service和Proxy两个角色的Portal使用CAS Filter对访问其自身的用户进行CAS认证;同时Portal要使用ProxyTicketReceptor servlet接收来自CAS server的PGT信息,并使用ProxyTicketValidator对象向CAS获取访问IMAP服务器的Proxy Ticket凭证;最终从IMAP服务器上获取AT用户的mail信息。同样的,这里的IMAP服务器也要接受并认可CAS对其用户的认证管理,同时它自己也成为二级Proxy,在有需要的情况下,一样可以向它的back-end Service发起Proxy Authentication代理认证请求……
其中蓝色线表示HTTP或HTTPS的请求;红色线表示应答;黑色线表示来自CAS server端的回调操作。
到此,本章节对JA-SIG(CAS)的整体功能和身份认证业务架构进行初步的讲解,在后续的章节中,我们将对CAS平台的服务端和客户端的编程与应用定制等相关内容的进行介绍。
发表评论
-
SQL生成 日期+流水号 的编号
2011-08-26 17:30 3021--以下代码生成的编号长度为12,前6位为日期信息,格式为YY ... -
转解决Firefox3,IE7,IE8上传图片预览
2011-08-08 15:00 1718网上找了不少资料发现以下两个原因导致Firefox3,IE7, ... -
String []split
2011-08-04 16:39 1129public static void main(String[ ... -
处理时间
2011-08-03 14:56 1044/*--------处理订单时间------begin---- ... -
java.lang.IndexOutOfBoundsException: Index: 7, Size: 7
2011-07-29 09:33 5517/** * 处在开放注册期内的代理订单 ... -
转javax.xml.datatype.XMLGregorianCalendar
2011-07-22 11:58 3915原文:http://xiyangzk.iteye.com/bl ... -
转Holder模式
2011-07-12 17:00 1160原文:http://badqiu.iteye.com/blog ... -
多线程并发访问解决方案 转
2011-06-16 10:48 949原文:http://incan.iteye.com ... -
小例子--当前时间加三天时间减一秒
2011-06-01 11:41 2985public static void main(String[ ... -
解决办法:服务器未能识别 HTTP 标头 SOAPAction 的值 转载
2011-06-01 09:25 7622这个是昨天快要下班的 ... -
java防SQL注入html编码入侵特殊字符转义和方法入参检测工具(Spring) ---转载
2011-05-17 09:54 2564Spring 不但提供了一个功 ... -
特殊字符转义 --转载
2011-05-16 17:23 1232原文:http://xhpscdx.iteye.com/blo ... -
session 跨域---未解决
2011-05-10 09:24 1197session 跨域的问题是这样的:用户在a系统登录之后,再去 ... -
web.xml里<filter-mapping>中的<dispatcher>
2011-04-07 09:28 9852.4版本的servlet规范在部属描述符中新增加了 ... -
struts1 和struts2 整合 转
2011-04-06 11:56 1272h项目使用struts1 框架,对于struts1的Web.x ... -
Struts2.0 web.xml 配置文件
2011-04-06 11:51 1850原文:http://thelongestday.iteye.c ... -
关于textarea自动生成N多空格的恶心问题
2011-03-17 12:27 1953textarea自动产生多个空格的问题,一开始以为css样式控 ... -
转载 单点登录知识点(1)
2011-03-05 00:43 1117原文:http://linliangyi2007.iteye. ... -
转载 单点登录(3)
2011-03-05 00:02 1164原文:http://www.iteye.com/topic/ ... -
转载 单点登录(1)
2011-03-04 23:50 896原文:http://soft-app.iteye.com/bl ...
相关推荐
在本文中,我们将深入探讨如何利用CAS实现单点登录功能,这将涉及到以下几个关键知识点: 1. **单点登录(SSO)原理**: SSO允许用户在一个应用系统中登录后,无需再次验证身份即可访问其他相互信任的应用系统。...
2. 过渡转载设备的设计:文章中所提及的过渡胶带转载机是由两个单元组成,每个单元都可以进行伸缩和转向操作。这样的设计使得转载机在转弯施工时能够灵活适应不同工况的需求。 3. 电动滚筒的驱动方式:该转载机的每...
知识点一:安川Σ-7系列AC伺服驱动器及Σ-7S伺服单元介绍 安川电机作为世界知名的伺服驱动系统制造商,提供了Σ-7系列AC伺服驱动器,其中Σ-7S伺服单元是该系列的重要组成部分。Σ-7S伺服单元支持MECHATROLINK-III...
以下是详细知识点的阐述。 首先,智能化控制系统的研究与应用是现代工业技术的重要方向。在煤矿转载点使用智能化洒水装置,可以实时监测和自动调整洒水作业,从而对煤流进行有效的控制。这样的智能化系统通常包括...
可转让信用证允许中间商赚取差价,但只能部分转让给一个或多个第二受益人,且必须准确转载原证条款,不包括金额、单价、有效期等特定内容的调整。 单据审核是跟单信用证业务的关键环节。遵循的基本原则是“单证相符...
标题《中国知识付费行业发展白皮书2017-V3-已美化》中的知识点涵盖了中国知识付费行业的定义、分析对象、发展现状以及产品形态和付费模式等多个方面。首先,知识付费作为一种创新产业形态,指的是内容创造者将各种...
1. **负载均衡**:这是集群的基本功能之一,通过将请求分发到不同的服务器节点,防止单点过载,确保整体性能稳定。常见的负载均衡算法有轮询、最少连接数、哈希一致性等。 2. **故障转移**:当某个节点出现故障时,...
根据提供的文件信息,以下是对标题、描述、标签以及部分内容中所蕴含知识点的详细说明。 知识点一:Omron Sysmac Studio软件的介绍 Omron Sysmac Studio是一个自动化软件平台,由欧姆龙公司开发,用于编程和配置NJ/...
本项目"连连看"是基于cocos2d-x实现的一款经典休闲游戏,下面将详细解析其关键知识点。 1. **项目结构分析**: - 在Cocos2d-x项目中,通常包括`Resources`目录用于存放资源文件,如图片、音频等;`src`或`Classes`...
SSO(Single Sign-On)单点登录是一种身份验证机制,允许用户在多个应用程序中使用一组共享的认证凭据,如用户名和密码。本详细设计说明书的下篇将深入探讨SSO的工作原理、实现方式以及常见问题。以下是SSO的相关...
OTC机器人单轴焊接变位器相关知识点涵盖多个方面,包括产品的安装、操作、维修以及安全事项等。以下是详细的知识点介绍: 1. OTC机器人单轴焊接变位器的介绍: OTC机器人单轴焊接变位器是一款由DAIHEN公司生产,...
一个单独被考纲加入的小知识点——“嵌入式系统的基础知识”, 嵌入式系统是目前非常热的一个研究点, 该知识点的加入,体现了软考“与时具进”的特点。既然是“基础知识”“,考查的内容都会比较基本。“熟 悉”则...
知识点2:78K0/Kx2系列微控制器 78K0/Kx2系列属于NEC Electronics Corporation生产的8位微控制器,它们广泛应用于需要小型化、低功耗和高性能的场合。这一系列微控制器的Flash存储器具有自编程能力,这使得在不更换...
对于考研学生来说,深入理解和掌握这门课程的知识点至关重要。以下是对2010年计算机组成原理考研大纲的详细解析: 一、计算机系统概述 这部分内容主要涉及计算机的发展历程、计算机系统的层次结构、计算机硬件的...
由于没有提供具体的问题列表,我们将根据常见的Oracle知识点进行详细的阐述。 1. **Oracle数据库基本概念**: - 数据库实例(Database Instance):由内存结构(如数据缓冲区、重做日志缓冲区等)和后台进程组成。...
### 软件测试知识点详解 #### 兼容性测试及其侧重方面 兼容性测试是一种评估软件在不同环境(如操作系统、硬件配置、浏览器版本等)下运行效果的测试方法。这种测试对于确保软件能够在预期的目标环境中正常工作至关...