|
锁定老帖子 主题:JA-SIG(CAS)学习笔记3
该帖已经被评为精华帖
|
|
|---|---|
| 作者 | 正文 |
|
发表时间:2009-02-19
在于CAS代理PGT的传递大家有什么好的办法?
如我某台机用IE登录了系统,哪么我这台机的的其它应用(可能是桌面应用)都不用再登录了。我想到两种方案: 1.IP与PGT对应存在CAS服务上,再通过webservice什么的把本机IP传到服务器去验证,感觉不太安全, 2.通过IE插件进行应用之间的调用(特别是桌面应用)把PGT传到目标应用中去 大家还有别的方案没, |
| 返回顶楼 | |
|
发表时间:2009-02-24
楼主,你好,我是刚开始学习CAS的小菜鸟,想请教一下,现在我有两个应用A和B,同一个人在这两个应用中的用户名和密码可能不同,需要在A中调用B,也就是应用代理模式,此时该如何配置CAS,身份验证的机制又是如何的呢?
谢谢! 
|
| 返回顶楼 | |
|
发表时间:2009-02-24
drliujia 写道 lynxpengpeng 写道 我想请教一个问题。用cas配置成功之后,系统的授权工作怎么做啊?没有cas之前,原系统登录后会在session 里存用户信息之类的,然后通过session 的内容判断权限,是不是有了cas之后,原系统的登录机制没用了,原系统的权限认证和管理就不用了。谢谢,疑惑中。。
当未授权用户访问受保护的资源时,web应用需要首先重定向到cas请求验证;cas会检查此用户cookie是否存有ticket,如果没有,则显示登录表单要求登录,如果有则会将此ticket传回给web应用;一般情况下,web应用获知此ticket后应再向cas请求验证此ticket是否有效,如果有效,cas会同时返回用户的一些其他属性,如用户名,web应用可据此用户名在自身系统中为此用户建立授权session。因为session已经建立,那么之后的活动便与一般的情形一样了。 所以,各web应用的权限管理机制仍然是必要的,剥离出去的仅仅是用户认证。 但有时候,我们面对的用户可能存在bs cs系统间的切换~ 这样不知道大家怎么处理? |
| 返回顶楼 | |
|
发表时间:2009-02-24
Devin.Chenzx 写道 drliujia 写道 lynxpengpeng 写道 我想请教一个问题。用cas配置成功之后,系统的授权工作怎么做啊?没有cas之前,原系统登录后会在session 里存用户信息之类的,然后通过session 的内容判断权限,是不是有了cas之后,原系统的登录机制没用了,原系统的权限认证和管理就不用了。谢谢,疑惑中。。
当未授权用户访问受保护的资源时,web应用需要首先重定向到cas请求验证;cas会检查此用户cookie是否存有ticket,如果没有,则显示登录表单要求登录,如果有则会将此ticket传回给web应用;一般情况下,web应用获知此ticket后应再向cas请求验证此ticket是否有效,如果有效,cas会同时返回用户的一些其他属性,如用户名,web应用可据此用户名在自身系统中为此用户建立授权session。因为session已经建立,那么之后的活动便与一般的情形一样了。 所以,各web应用的权限管理机制仍然是必要的,剥离出去的仅仅是用户认证。 但有时候,我们面对的用户可能存在bs cs系统间的切换~ 这样不知道大家怎么处理? 个人以为CS和BS间做统一账户是有可能的,但要做SSO,不太现实,除非你用微软的全套,那个完全是嵌入在操作系统级别上的安全机制了 |
| 返回顶楼 | |
|
发表时间:2009-02-24
很想听听你所说的微软全套的解决方案
呵呵 |
| 返回顶楼 | |
|
发表时间:2009-02-24
Devin.Chenzx 写道 很想听听你所说的微软全套的解决方案
呵呵 这个我就不懂了,俺是java only哈! 微软的方案在不少企业听说过,主要使用Windows domain机制,用AD做LDAP,全域穿透的方案,具体的就要问微软了 |
| 返回顶楼 | |
