一种SSO和权限管理方案

最新推荐文章于 2022-12-21 19:10:45 发布
原创 最新推荐文章于 2022-12-21 19:10:45 发布 · 1.1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#SSO #JSP #ASP #浏览器 #PHP

一种SSO和权限管理方案

 

本单点登录借鉴了著名的OFBIZMS PassportSSO原理。主要是为了方便和权限管理集成。

一般来说,对于一个大型的企业信息系,认证和授权要考虑一下几个问题:

1、          门户的子系统单点登录

2、          门户子系统的分散授权还是集中授权

3、          门户子系统是否是同构或异构,如ASPJSPPHP

4、          该门户是否B/SC/S并存

5、          遗留系统的用户账号是分散,还是统一管理。不过一般遗留系统都有几套用户账号,然后当子系统增加时,为了把所有子系统集成,就要考虑门户的问题。

6、          和遗留系统相对应的,就是一个企业要新开发好几个子系统,让它们集成到一起

 

本方案也只能解决其中的一部分问题

 

概念:

SSOServer:(浅绿色)负责登入和登出服务,它和application不在同一个application Server上。

appA:某个Application Server上的application

appB:另一个Application Server上的application

checkLoginSSOServer上的一个登录判断和登录入口

loginSSOServer上的登录入口

logoutSSOServer上的登出入口

autoLogin:(浅黄色框)某个Application上的用户第一次请求入口,它是每个web application的权限初始化模块,在这里处理用户信息获取,权限分配等,它由每个application实现,但有一定的规范。如果说SSOServer处理Authentication,那么它就是处理Authorization

filter:(浅蓝色框)某个application的前端拦截器,主要是拦截客户端URL请求,判断他是否为已认证和已授权用户。它由SSOServer统一实现,各application只需按要求部署即可。

ticket:该用户在所有系统的惟一标识

uuid:和ticket类似,只不过用意不同,结合cookie,可以解决跨域的问题

lock用户在CAS中验证通过后设置为0,但在autoLogin处理完毕后设置为1。这主要是为了安全性考虑。黑客捕获ticket,即使得到该ticket,但lock设置为1后,autoLogin就不再处理该登录(相当于悲观锁)。

 

登录过程:

1、  客户端浏览器发起对http://appA.com/foo.jsp 请求,appAfilter检查该用户Session,发现他还没有登录,保存其目标url信息于新创建的Session中,重定向到https://SSOServer/checkLogin

2、  checkLogin调用login页面进行登录,用户输入用户名、密码进行登录,处理完毕,生成一个ticket,将该ticketusername保存于SSO 数据库中,同时设置lock0。然后在SSOServer上创建会话Cookie(该cookie保存于内存中,存在于浏览器会话期间,如Servlet规范里的JSESSIONID),在该cookie中保存该uuid,然后再重定向到http://appA.com/autoLogin?ticket=??? 其中ticket包括一个全局标识,如asdfsdFsdfsdfsdfsdfsdf345uyui

3、  autoLogin里根据ticket取得用户username,根据其username在数据库里取得用户权限信息等,将其保存于原先在filter里创建的session中,同时将lock设置为1(防止第二个有同样ticket的用户访问,保准安全性,)然后重定向到Session里的目标url这时便可顺利通过filter

4、当用户需要访问http://appB.com/bar.jsp 时,appBfilter发现该用户没有在其系统中登录(Session不存在),保存其目标url于新创建的Session中,重定向到https://SSOServer/checkLogin

5、  checkLogin根据当前浏览器的cookie,发现有uuid,从而判断该用户已经登录过,然后将该用户重定向到http://appB.com/autoLogin?ticket=??? ,然后重复3的步骤。

 

说明:

1、  对于每个用户登入的每个系统,用户只需要一次和SSOServer交互,并且,也只需要一次与autoLogin交互。

2、  如果用户第一次访问整个门户,可以从Login入口,而不是checkLogin,这可以允许Login页面的定制(如English网站Login入口)。

3、  引入lock,其实就是引入安全性。

4、  本方案暂时没有处理Logout,不过实现应该不是很难。

5、  本方案适用于Web application,可以支持JSPASPPHP等异构系统,不过用Servlet规范的filter容易处理。

6、  本方案暂时忽略了遗留系统导致的有几套账号的问题,而是采用统一账号管理。

深入理解单点登录(SSO):简化用户认证体验
五更钟动的博客
04-07 3万+
SSO定义概念​单点登录(Single Sign-On,简称SSO)是一种身份验证授权机制,旨在让用户只需一次登录,就能够访问多个相关但独立的系统或应用。在传统的身份验证模型中,用户需要为每个系统提供独立的凭证(通常是用户名密码),这不仅繁琐而且容易导致安全隐患。​ SSO解决了这一问题,通过一次登录,用户获取了对多个系统的访问权限,而无需在每个系统中重新输入凭证。这样的集中式身份验证模型极大地提升了用户体验,减轻了用户的记忆负担,同时也有助于提高整体系统的安全性。
RBAC最少需要几张表,简述实现原理
博客
03-01 5974
RBAC:基于角色的权限访问控制(Role-Base-Access Control)从RBAC0到RBAC3分别需要5到12张表1. RBAC0RBAC0是RBAC中的基础模型,后续的模型都是RBAC0的改进RBAC0引入了角色概念来解决用户与权限之间的分离问题,用户实际上没有权限,而只有给用户赋予某种角色之后,才拥有相应的权限.RBAC0主要解决了权限的分离问题数据表模型:我们需要5张表来完成R...
单点登录系统(SSO)+权限管理
01-06
SSO 单点登录系统 +源码 +部署文档+架构图+权限管,包含项目数据库
单点登录SSO(single sign on)模式(单点登录+权限认证)
雨声学java
06-09 5699
一、单点登录三种常见方法: 第一种: session广播机制实现(已过时) session赋值 = 把登录的session对象,复制给其他模块 缺点:如果模块多的话,session复制会造成资源浪费,还会因为session复制导致数据重复 第二种:使用cookie + redis 实现 怎么设置过期时间:redis 可以设置过期时间 第三种:使用token实现 .................................
SSO权限控制设计思路
西木风落
08-29 7449
SSO一种统一认证授权机制,指访问同一服务器不同应用中的受保护资源的同一用户,只需要登录一次,即通过一个应用中的安全验证后,再访问其他应用中的受保护资源时,不再需要重新登录验证。     它主要解决了用户只需要登录一次就可以访问所有相互信任的应用系统,而不用重复登录。      SSO的设计思路:       1)产生SSO-Client插件           SSO-Client插
SSO统一权限管理:基于RBAC与XML的解决方案
本文主要探讨了一种结合基于角色的访问控制(RBAC)单点登录(SSO)的统一权限管理方法,旨在解决多系统环境下权限管理的复杂性异源异构系统的整合问题。作者张世龙沈玉利提出的方法,利用XML作为数据交换格式...
全面解析单点登录(SSO)及权限管理系统的部署与架构
单点登录(Single Sign-On,简称SSO)是一种用户登录管理技术,允许用户在多个应用系统中使用同一套登录凭证进行访问。SSO系统的主要目的是简化用户的登录过程,提高用户体验,降低IT支持的难度。权限管理是指对于...
sso java_GitHub - shaojintian/sso-java: 分布式单点登录
weixin_39859061的博客
02-22 270
sjt-ssoa distributed single sign-on frameworkBest-README-TemplateAn awesome README template to jumpstart your projects!Explore the docs »View Demo·Report Bug·Request Feature本篇README.md面向开发者???? 功能concise...
ofbiz sso 单点登录
05-05
ofbiz12单点登录简介,基本的业务流程及怎样去应用
基于SAP NetWeaver EP的单点登录(SSO)
12-14
基于SAP NetWeaver EP的单点登录(SSO)
[转]LoongSSO 大中型WEB系统单点登陆(SSO)整合利器
aqc802886的博客
06-17 234
转载自: http://blog.chinaunix.net/space.php?uid=1760882&do=blog&id=93117 我们都知道网易、搜狐等大型门户都有“通行证”的概念,这个通行证系统就是今天讨论的“单点登录系统”。其主要特征是多个站点一个用户中心,一点登陆后其他也自动登录,注销也是。比如我们在126登录了邮箱,再去163.com就是登陆状态。就好...
三方系统集成SF(SuccessFactors),实现单点登录要点
bigbearxyz的博客
12-21 2243
在笔者先前的文章中,详细介绍了如何把一个自开发的三方系统,集成到okta或者IAS平台。经过笔者的实际工作经验,发现SF自己本身其实也可以作为一个单点登录平台来使用。
Portal门户&&SSO单点登录
coxf45246896的博客
03-10 998
Portal英文字面是"入口",国内有叫"门户"技术的.但我觉得"集成"技术更能表达它的意思.SSO是单点登录的意思,可以集成多个系统[@more@] ...
SSO单点登录-分布式系统实战
蓝星花
04-18 3733
什么是单点登录SSO(Single Sign-On)SSO一种统一认证授权机制,指访问同一服务器不同应用中的受保护资源的同一用户,只需要登录一次,即通过一个应用中的安全验证后,再访问其他应用中的受保护资源时,不再需要重新登录验证。单点登录解决了什么问题解决了用户只需要登录一次就可以访问所有相互信任的应用系统,而不用重复登录。例如优快云中的论坛应用,博客应用,下载应用模块。我们只要在优快云中...
CAS实现基于数据库校验的sso单点登陆
技术杂货铺
01-23 428
1、什么是单点登录 单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。 我们目前的系统存在诸多子系统,而这些子系统是分别部署在不同的服务器中,那么使用传统方式的session是无法解决的,我们需要使用相关的单点登录技术来解决。 2、单点登陆一般流程 访问服...
CAS单点登录-https配置(四)
热门推荐
悟空、的博客园
09-11 2万+
CAS单点登录-https配置(四)注意:配置的单点登录版本为cas-5.1.3若需要上个版本代码,可以点击下载: 上图是未支持https时默认登录页 5.x 版本后必须https才支持单点登录 自签名服务端需要导入证书 重点: passport.sso.com 是我们测试的域名 测试时需要把本地机的ip映射为passport.sso.com设到系统HOSTS文件 证书处理密钥生成生成步骤,各参数含
SSO-单点登录完全解决方案
10-27 286
SSO-单点登录完全解决方案2007年8月6日11:49:03发布:yaosansiQQ群:Y⑤WEB开发(新手)号码:12777715MSN群:yaosansi[at]126.com本站大部分内容从网上收集,收集目的仅供研究、学习。涉及版权或不希望收录您的文章请您及时与我联系。本站IM群,请自行选择。请各位朋友按照自己喜好加入。加入群后请及时发言,防止被清理。谢谢您的合作!...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值