单点登录认证方案思路,求好思路回复
統(tǒng)一用戶認(rèn)證方案思路
實(shí)現(xiàn)目標(biāo):
1.實(shí)現(xiàn)單點(diǎn)登錄,使用單點(diǎn)登錄帳號(hào)登錄后,可訪問(wèn)多個(gè)被授權(quán)的系統(tǒng)。
2.盡量不讓用戶進(jìn)行客戶端安裝,有些技術(shù)如CAS,SAML,P3P歡迎點(diǎn)評(píng)
??免登錄訪問(wèn)方式可能存在:
??1、當(dāng)前系統(tǒng)界面連接其他系統(tǒng)的界面,(場(chǎng)景:多系統(tǒng)集成一個(gè)系統(tǒng))
??2、當(dāng)前系統(tǒng)訪問(wèn)其他系統(tǒng)的有驗(yàn)證的服務(wù)接口, (場(chǎng)景: 訪問(wèn)被授權(quán)的系統(tǒng)的服務(wù))
??3、在新的瀏覽器標(biāo)簽頁(yè)直接打開其他系統(tǒng)的頁(yè)面 。(場(chǎng)景: 進(jìn)入其他系統(tǒng)免登錄)
2.增強(qiáng)安全驗(yàn)證性,采用 cookie,token,session,和安全令牌securityCard形式
??1、cookie記錄了用戶的登錄信息token,
??2、session可獲得訪問(wèn)者的IP,
??3、安全令牌用于記錄單點(diǎn)登錄用戶訪問(wèn)的唯一憑證.
??4、敏感信息(金錢,核心內(nèi)容)或者防惡意請(qǐng)求(如盜號(hào))可考慮動(dòng)態(tài)密碼和訪問(wèn)頻率來(lái)控制(未來(lái)有需要時(shí))
3.增強(qiáng)用戶體驗(yàn)性
??1.已登錄的個(gè)人資料編輯,增加上傳頭像
??2.用戶管理,分組管理,角色管理,權(quán)限管理界面交互修改更友好
??3.用戶直接訪問(wèn)某系統(tǒng)子頁(yè)面時(shí),如果未登錄則彈出登錄,登錄后重定向到指定子頁(yè)面。
??4.對(duì)于一些特殊的http請(qǐng)求錯(cuò)誤給予友好error.html提示,如404.500,302等.
存在問(wèn)題:
??1.多個(gè)系統(tǒng)可能有多套自身用戶管理,另外有可能第三方系統(tǒng)有可能接入;
??2.多個(gè)系統(tǒng)可能共用一套用戶管理;
??3.單點(diǎn)登錄用戶和各系統(tǒng)之間的關(guān)系如何。
解決方案:
??1.針對(duì)問(wèn)題1: 設(shè)立uum認(rèn)證中心;?
? ???提供應(yīng)用系統(tǒng)單點(diǎn)登錄角色配置的注冊(cè),更新,和注銷等接口(即應(yīng)用系統(tǒng)加入認(rèn)證中心的操作);
? ???提供應(yīng)用系統(tǒng)之間授權(quán)的添加,更改,刪除等接口;
? ???提供所有注冊(cè)系統(tǒng)的注冊(cè)信息的查詢接口;
? ???提供在線單點(diǎn)登錄用戶的查詢,退出,登錄等;
? ???對(duì)接口的信息中有必要包含授權(quán)期限等。
??2.針對(duì)問(wèn)題2:
? ? 優(yōu)化應(yīng)用系統(tǒng)的用戶管理模塊,支持區(qū)分存儲(chǔ)不同域名的權(quán)限;
? ? 將統(tǒng)一的用戶管理角色注冊(cè)到uum認(rèn)證中心,并對(duì)個(gè)系統(tǒng)相互授權(quán);
? ? 建議將統(tǒng)一的用戶管理界面開放給某個(gè)系統(tǒng)的用戶進(jìn)行統(tǒng)一操作。
??3.針對(duì)問(wèn)題3:
? ? 應(yīng)用系統(tǒng)有自身的用戶管理體系,如果想加入單點(diǎn)登錄群組,需要建立如下規(guī)則:? ?
? ? 應(yīng)用系統(tǒng)向認(rèn)證中心發(fā)起請(qǐng)求的元單位為角色,即單獨(dú)登錄的用戶需要在認(rèn)證中心里判別角色;
? ? 需要設(shè)立單點(diǎn)登錄的角色,然后將自身系統(tǒng)的角色與其匹配;
? ? 應(yīng)用系統(tǒng)用戶管理中可以將單點(diǎn)登錄角色授權(quán)給其他系統(tǒng),也可查看被其他系統(tǒng)授權(quán)的信息;
? ? 認(rèn)證中心只管角色,可對(duì)加入的應(yīng)用系統(tǒng)進(jìn)行注冊(cè)信息統(tǒng)一管理(另行處理) ,但是角色的訪問(wèn)權(quán)限由各個(gè)系統(tǒng)復(fù)制管理。
? ?4.單獨(dú)登錄配置:
? ?? ?1.應(yīng)用系統(tǒng)提交xml格式注冊(cè)到uum認(rèn)證中心,包括信息:系統(tǒng)ID,角色名稱(可多個(gè)),到期時(shí)間等,并可修改。
? ?? ?2.應(yīng)用系統(tǒng)可將單點(diǎn)登錄角色賦給其他系統(tǒng)對(duì)應(yīng)的角色,可為一對(duì)多,包括到期時(shí)間等必要的信息。
? ?? ?3.認(rèn)證中心可對(duì)應(yīng)用系統(tǒng)提交的部分信息進(jìn)行一些甑別和修改。
? ?5.單點(diǎn)登錄訪問(wèn)步驟:
? ?? ?1.用戶訪問(wèn)A系統(tǒng),輸入用戶名,密碼;
? ?? ?2.A系統(tǒng)登錄成功,
? ?? ???發(fā)現(xiàn)是該用戶角色為單點(diǎn)登錄角色,
? ?? ???重定向uum認(rèn)證中心登錄界面,并傳送參數(shù)以及A系統(tǒng)回調(diào)路徑,
? ? ? ? uum認(rèn)證解析參數(shù),檢查角色是否過(guò)期,生成安全令牌,再重定向回應(yīng)用系統(tǒng);
? ? ? ???此時(shí)產(chǎn)生了應(yīng)用系統(tǒng)和認(rèn)證中心兩個(gè)系統(tǒng)的連接。
? ?? ?3.用戶訪問(wèn)B系統(tǒng)主頁(yè),B系統(tǒng)發(fā)現(xiàn)沒有在自己服務(wù)器上登錄,
? ?? ???重定向uum認(rèn)證中心登錄界面,并傳送參數(shù)以及B系統(tǒng)回調(diào)路徑,
? ? ? ? uum認(rèn)證發(fā)現(xiàn)已經(jīng)登錄,返回用戶角色相應(yīng)信息以及安全令牌重定向給B系統(tǒng),
? ? ? ? B系統(tǒng)登錄成功。
? ?6.安全驗(yàn)證:
轉(zhuǎn)載于:https://www.cnblogs.com/xuxian/p/5257373.html
總結(jié)
以上是生活随笔為你收集整理的单点登录认证方案思路,求好思路回复的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: C#在后台运行操作:Background
- 下一篇: 【BZOJ】1070: [SCOI200