单点登录SSO
2019獨角獸企業重金招聘Python工程師標準>>>
一、什么是單點登錄SSO(Single Sign-On)
SSO是一種統一認證和授權機制,指訪問同一服務器不同應用中的受保護資源的同一用戶,只需要登錄一次,即通過一個應用中的安全驗證后,再訪問其他應用中的受保護資源時,不再需要重新登錄驗證。
二、單點登錄解決了什么問題
解決了用戶只需要登錄一次就可以訪問所有相互信任的應用系統,而不用重復登錄。
三、單點登錄的技術實現機制
如下圖所示:
當用戶第一次訪問應用系統1的時候,因為還沒有登錄,會被引導到認證系統中進行登錄;根據用戶提供的登錄信息,認證系統進行身份效驗,如果通過效驗,應該返回給用戶一個認證的憑據--ticket;用戶再訪問別的應用的時候,就會將這個ticket帶上,作為自己認證的憑據,應用系統接受到請求之后會把ticket送到認證系統進行效驗,檢查ticket的合法性(4,6)。如果通過效驗,用戶就可以在不用再次登錄的情況下訪問應用系統2和應用系統3了。
從上圖可以看出sso的實現技術點:
1)所有應用系統共享一個身份認證系統。
統一的認證系統是SSO的前提之一。認證系統的主要功能是將用戶的登錄信息和用戶信息庫相比較,對用戶進行登錄認證;認證成功后,認證系統應該生成統一的認證標志(ticket),返還給用戶。另外,認證系統還應該對ticket進行效驗,判斷其有效性。
2)所有應用系統能夠識別和提取ticket信息
要實現SSO的功能,讓用戶只登錄一次,就必須讓應用系統能夠識別已經登錄過的用戶。應用系統應該能對ticket進行識別和提取,通過與認證系統的通訊,能自動判斷當前用戶是否登錄過,從而完成單點登錄的功能。
關于統一身份認證機制:如下圖
①用戶請求訪問業務系統。
②業務系統在系統中查看是否有對應請求的有效令牌,若有,則讀取對應的身份信息,允許其訪問;若沒有或令牌無效,則把用戶重定向到統一身份認證平臺,并攜帶業務系統地址,進入第③步。
③在統一身份認證平臺提供的頁面中,用戶輸入身份憑證信息,平臺驗證此身份憑證信息,若有效,則生成一個有效的令牌給用戶,進入第④步;若無效,則繼續進行認證,直到認證成功或退出為止。
④用戶攜帶第③步獲取的令牌,再次訪問業務系統。
⑤業務系統獲取用戶攜帶的令牌,提交到認證平臺進行有效性檢查和身份信息獲取。
⑥若令牌通過有效性檢查,則認證平臺會把令牌對應的用戶身份信息返回給業務系統,業務系統把身份信息和有效令牌寫入會話狀態中,允許用戶以此身份信息進行業務系統的各種操作;若令牌未通過有效性檢查,則會再次重定向到認證平臺,返回第③步。
通過統一身份認證平臺獲取的有效令牌,可以在各個業務系統之間實現應用漫游。
四、單點登錄的優點
1)提高用戶的效率。
用戶不再被多次登錄困擾,也不需要記住多個 ID 和密碼。另外,用戶忘記密碼并求助于支持人員的情況也會減少。
2)提高開發人員的效率。
SSO 為開發人員提供了一個通用的身份驗證框架。實際上,如果 SSO 機制是獨立的,那么開發人員就完全不需要為身份驗證操心。他們可以假設,只要對應用程序的請求附帶一個用戶名,身份驗證就已經完成了。
3)簡化管理。
如果應用程序加入了單點登錄協議,管理用戶帳號的負擔就會減輕。簡化的程度取決于應用程序,因為 SSO 只處理身份驗證。所以,應用程序可能仍然需要設置用戶的屬性(比如訪問特權)。
五、單點登錄的缺點
1)不利于重構
因為涉及到的系統很多,要重構必須要兼容所有的系統,可能很耗時
2) 無人看守桌面
因為只需要登錄一次,所有的授權的應用系統都可以訪問,可能導致一些很重要的信息泄露。
六、京東SSO單點登陸實現分析
cookies
http請求
1.在首頁點擊登陸,跳轉至passport.360buy.com,給予驗證cookie alc(可以試試在提交登陸信息前刪除該cookie)
cookies
http請求
2.填寫用戶名密碼,提交登陸,驗證alc,登陸成功則給予sso的cookie ceshi3.com,跳轉至首頁
cookies:
3.首頁異步ajax,向passport.360buy.com發起hello請求,hello請求返回json對象a,a包含sso(url地址數組,含請求參數)
http請求:
發起hello請求的腳本如下:
<script?type="text/javascript">(function?($)?{$("#shortcut?.menu").Jdropdown({?delay:?50?});var?helloUrl?=?window.location.protocol?+?"//passport.360buy.com/new/helloService.ashx?m=ls";jQuery.ajax({?url:?helloUrl,dataType:?"jsonp",scriptCharset:?"gb2312",success:?function?(a)?{//if?(a?&&?a.info)?{?$("#loginbar").html(a.info);?}if?(a?&&?a.sso)?{$.each(a.sso,?function?()?{?$.getJSON(this)?})}?}?});})(jQuery);</script>【以上這段是在登出頁發現的,京東首頁實際使用的是壓縮過的,來自http://misc.360buyimg.com/lib/js/2012/lib-v1.js?t=20121204的腳本,兩者相同】
a.sso的內容
"http://sso.360buy.com/setCookie?t=sso.360top.com&callback=?" "http://sso.360buy.com/setCookie?t=sso.minitiao.com&callback=?" "http://sso.360buy.com/setCookie?t=sso.ehaoyao.com&callback=?" "http://sso.360buy.com/setCookie?t=sso.jcloud.com&callback=?" "http://sso.360buy.com/setCookie?t=sso.qianxun.com&callback=?"4.客戶端回調函數,遍歷a.sso,逐個發起getjson 請求(此時請求目標還是在同一個主域名下,firebug網絡面板中setcookie系列請求,如下圖),
相關代碼: $.each(a.sso, function () { $.getJSON(this) })
http請求:
5.setcookie系列請求,各自響應一個與setcookie所接受的t參數相應域名的jsonp請求地址(即是接下來的跨域請求),并包含統一的一個c參數
*5到6的銜接,猜測是setcookie的響應同時觸發了sign系列的請求,那必須返回一個js代碼片段,發起getjson請求。
6.客戶端發起sign系列請求,包含c參數,跨主域名請求,響應即為設置ceshi3.com cookie
http://sso.360top.com/sign???c=6d324d99805593c4aac6abfdd17e67399d73......54763628040 http://sso.minitiao.com/sign?c=6d324d99805593c4aac6abfdd17e67399d73......54763628040 http://sso.jcloud.com/sign???c=6d324d99805593c4aac6abfdd17e67399d73......54763613889 http://sso.ehaoyao.com/sign??c=6d324d99805593c4aac6abfdd17e67399d73......54763613889 http://sso.qianxun.com/sign??c=6d324d99805593c4aac6abfdd17e67399d73......54763613890(上面省略的部分包含了類似“48bd&callback=jsonp1354763638164&_=1354763638814&t=1354763”)
7.所有京東涉及登陸信息的頁面,可對ceshi3.com cookie進行解析,以此作為登陸憑證。
**可以驗證一下
登陸京東后,打開京東奢侈品(360top),刪除cookie ceshi3.com 刷新后顯示未登陸,再打開京東迷你挑(此時又同步了一次cookie),再回京東奢侈品(360top),刷新后依舊是登陸狀態。(迷你挑測試中偶爾會有問題,可以換一個京東產品試試)
8.退出時,跳轉到登出頁面,JS發起getjson請求,刪除所有cookie
京東登出頁上找到以下代碼
<script?type="text/javascript"> jQuery.getJSON("http://sso.360top.com"?+?"/exit?callback=?"); jQuery.getJSON("http://sso.qianxun.com"?+?"/exit?callback=?"); jQuery.getJSON("http://sso.ehaoyao.com"?+?"/exit?callback=?"); jQuery.getJSON("http://sso.360buy.com"?+?"/exit?callback=?"); jQuery.getJSON("http://sso.minitiao.com"?+?"/exit?callback=?"); jQuery.getJSON("http://sso.jcloud.com"?+?"/exit?callback=?"); </script>總結,整體的關鍵在于360buy.com下客戶端js發起jsonp跨域請求時,傳遞的參數c(猜測是對稱加密后的數據,與登錄憑據cookie ceshi3.com 的值有對應關系)。其他細節都在于服務器端對各系列請求的處理。
如果A域名和B域名(指主域名不同的情況)要共享登陸
B域名下的cookie還是要B自己寫的,jsonp的處理就是告訴B,該寫個什么值,當然傳遞過程中最好進行加密(上面的參數c)。當ABCD等等各產品都設置了統一的憑據,那么就完成了“單點登陸”的要求。不過,對這個憑據進行解析的需求也是很重要的,這里倒未提及。因為涉及到ceshi3.com這個cookie里信息的具體內容,這個驗證過程也只有京東的開發人員才知道了。
轉載于:https://my.oschina.net/robslove/blog/335202
總結
- 上一篇: dx.jar bad class fil
- 下一篇: 界面仅允许扫码枪录入禁止手工键盘输入