一个SSO方案，请大家给点意见

问答首页 → 综合技术

0 0

一个SSO方案，请大家给点意见5

我们是一家公司的管理系统（B/S架构）供应商之一，最近企业方要上某友的门户系统，涉及到SSO的解决方案，某友提出他们的标准产品方案如下：

1：用户登录门户系统

2：用户从门户提供的链接跳转到管理系统

3：若第一次跳转，门户系统弹出登录窗体，让用户填写在对应管理系统中的用户名、密码

3.1：门户系统使用内部加密算法对密码进行加密，然后将用户名和加密后的密码发送给管理系统

3.2：管理系统使用门户系统预先提供的解密方法解密得到密码，验证用户身份

3.3：验证通过后，门户系统将本次用户输入的登录信息保存在凭证记录表中，以备下次跳转

4：若不是第一次跳转，门户系统直接从凭证记录表中查询门户帐号对应的管理系统登录信息，并发送给管理系统进行验证

有人说这方案有问题，想请各位大神们给点意见，谢谢！

企业应用 SSO

2013年5月28日 12:59

zjarcher
35
0 0 6

3个答案按时间排序按投票排序

0 0

我说个有趣的例子吧，
门户A、资源管理系统B、工资管理系统C

登录A，A发送口令给B或C

可能出现的是B通过验证，C不能通过，达不到单点

2013年6月01日 16:42

cectsky
129
0 1 5

添加评论

0 0

,这是SSO么？
还是 “标准产品方案” ，怎么感觉像是忽悠人的！
SSO应该是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。
而不是在每一个业务应用中再去验证。

2013年5月29日 16:04

Java_Eye007
44
0 0 4

1条评论

0 0

说这种方案是单点登录，有点微妙。也许是我见识太少了。
个人感觉SSO应该是统一的在一个地方去做认证。以你的例子来说，就是这样的：
1.用户登录门户系统
2.用户从门户提供的链接跳转到管理系统
3.管理系统询问门户系统，这个用户是不是有效的用户。门户认证这个用户后，告诉管理系统是一个有效用户，则可以进入该管理系统。

可以看出来，对于用户的认证是统一在门户这边做的，而不是门户每次去问不同的管理系统，这个用户能不能进你系统。

具体实现上，我用的是CAS，是一个开源框架。
那个的认证流程和我上面说差不多，用户登录后的信息保存Cookie中。

2013年5月28日 13:47

simingxiong
76
0 0 9