【正文】 ation）。 主站過期憑證 /令牌清除 ：定時清除 (DataTable)Cache[“CERT”]中 timeout 字段超過當(dāng)前時間的記錄。)Token=.*, , oreCase)。 else url += ?Token=$Token$。 } /// summary /// 獲取帶令牌請求的 URL /// 在當(dāng)前 URL 中附加上令牌請求參數(shù) /// /summary /// returns/returns private string getTokenURL() { string url = 。 } else { //令牌錯誤 (())。 //調(diào)用 WebService 獲取主站憑證 tokenService = new ()。 using 。 using 。如下代碼所示： using System。 } } 分站憑證 ：分站憑證主要用于減少重復(fù)驗證時網(wǎng)絡(luò)的交互，比如用戶已在分站 a 上登錄過，當(dāng)他再次訪問分站 a 時，就不必使用令牌去主站驗證了，因為分站 a 已有該用戶的憑證。 DataColumn[] keys = new DataColumn[1]。 (info, ())。有多種實現(xiàn)方式可供選擇，要求可靠的話用數(shù)據(jù)庫，要求性能的話用 Cache， DEMO 中我使用的是Cache 中的 DataTable。 (Value, tokenValue)。 設(shè)計完成后，接下來是方案實現(xiàn)的一些關(guān)鍵點(diǎn)： 令牌 ：令牌由主站頒發(fā)，主站頒發(fā)令牌同時生成用戶憑證，并記錄令牌與用戶憑證之間的對應(yīng)關(guān)系，以根據(jù)用戶提供的令牌響應(yīng)對應(yīng)的憑證；令牌要在各跨域分 站中進(jìn)行流通，所以DEMO 中令牌我使用主站的 Cookie，并指定 =。 OK，現(xiàn)在描述一下單點(diǎn)登錄的過程： 情形一、匿名用戶：匿名用戶訪問分站 a 上的一個授權(quán)頁面，首先跳轉(zhuǎn)到主站讓用戶輸入帳號、密碼進(jìn)行登錄，驗證通過后產(chǎn)生主站憑證，同時產(chǎn)生令牌，跳轉(zhuǎn)回分站 a，此時分站 a 檢測到用戶已持有令牌，于是用令牌再次去主站獲取用戶憑證，獲取成功后允許用戶訪問該授權(quán)頁面。 如下圖所示： 為方便清晰描述，先定義幾個名詞，本文中出現(xiàn)之處均為如下含義。 基于 .Net 的單點(diǎn)登錄 (SSO)解決方案 畢業(yè)設(shè)計論文 前些天一位朋友要我?guī)兔ψ鲆粏吸c(diǎn)登錄，其實這個概念早已耳熟能詳，但實際應(yīng)用很少，難得最近輕閑，于是決定通過本文來詳細(xì)描述一個 SSO 解決方案，希望對大家有所幫助。 主站 ： Passport 集中驗證服務(wù)器 。同時產(chǎn)生分站 a 的本地憑證，當(dāng)該用戶需要再次驗證時將先檢查本地憑證，以減少網(wǎng)絡(luò)交互。各分站如何共享主站的 Cookie？從分站 Redirect 到主站頁面，然后該頁面讀取 Cookie 并以 URL 參數(shù)方式回傳即可，可在 DEMO 代碼中查看詳細(xì)實現(xiàn)，當(dāng)然如果哪位有更好的令牌實現(xiàn)方式也拿出來分享。 = 。如下代碼所示： /// summary /// 初始化數(shù)據(jù)結(jié)構(gòu) /// /summary /// remarks /// /// | token(令牌 ) | info(用戶憑證 ) | timeout(過期時間 ) | /// || /// /remarks private static void cacheInit() { if ([CERT] == null) { DataTable dt = new DataTable()。 [info].DefaultValue = null。 keys[0] = [token]。分站憑證相對比較簡單，使用 Session、 Cookie 均可。 using 。 using 。 using 。 object o = (tokenValue)。 } } else { //未持有令牌 (())。 Regex reg = new Regex(^.*\?.+=.+$)。 return + Server .UrlEncode(url)。 return + Serve(url)。 單點(diǎn)登錄（ Single Sign On），簡稱為 SSO，是目前比較流行的企業(yè)業(yè)務(wù)整合的解決方案之一。企業(yè)應(yīng)用集成可以在不同層面上進(jìn)行：例如在數(shù)據(jù)存儲層面上的 “數(shù)據(jù)大集中 ”，在傳輸層面上的 “通用數(shù)據(jù)交換平臺 ”，在應(yīng)用層面上的 “業(yè)務(wù)流程整合 ”，和用戶界面上的 “通用企業(yè)門戶 ”等等。（ Michael E. Whitman (2020) Management Of Information Security Kennesaw University) 編輯本段 技術(shù)實現(xiàn)機(jī)制 當(dāng)用戶第一次訪問應(yīng)用系統(tǒng) 1 的時候，因為還沒有登錄，會被引導(dǎo)到認(rèn)證系統(tǒng)中進(jìn)行登錄；根據(jù)用戶提供的登錄信息，認(rèn)證系統(tǒng)進(jìn)行身份效驗，如果通過效驗，應(yīng)該返回給用戶一個認(rèn)證的憑據(jù)－－ ticket；用戶再訪問別的應(yīng)用的時候，就會將這個 ticket 帶上，作為自己認(rèn)證的憑據(jù)，應(yīng)用系統(tǒng)接受到請求之后會把 ticket 送到認(rèn)證系統(tǒng)進(jìn)行效驗，檢查 ticket 的合法性。整個系統(tǒng)可以存在兩個以上的認(rèn)證服務(wù)器，這些服務(wù)器甚至可以是不同的產(chǎn)品。 為了確保業(yè)務(wù)的高效運(yùn)行與管理的高效執(zhí)行，企業(yè)急需優(yōu)化信息化方案： 第一， 如何實現(xiàn)公司各種業(yè)務(wù)流程及信息資源的全面整合？ 第二， 如何簡化各種信息系統(tǒng)的使用方式，降低使用成本？ 第三， 如何降低信息系統(tǒng)維護(hù)與管理成本？ 解決方案 實現(xiàn)資源整合： 為了解決第一個問題，即實現(xiàn)各信息系統(tǒng)之間的全面整合，集團(tuán)公司引進(jìn)了企業(yè)信息門戶 (EIP)，即將各 種應(yīng)用系統(tǒng) (諸如 ERP、 BPM、 HR、 OA、企業(yè)郵局等 )、數(shù)據(jù)資源和互聯(lián)網(wǎng)資源統(tǒng)一集到企業(yè)信息門戶之下 ,根據(jù)每個用戶使用特點(diǎn)和角色的不同 ,形成個性化的應(yīng)用界面，并通過對事件和消息的處理、傳輸把用戶有機(jī)地聯(lián)系在一起。 淺析用戶權(quán)限管理系統(tǒng)中的單點(diǎn)登錄 概述： 用戶權(quán)限管理系統(tǒng)中的單點(diǎn)登錄是一種常用于企業(yè)內(nèi)部網(wǎng)絡(luò)的訪問網(wǎng)絡(luò)技術(shù)，可以將企業(yè)中所有域的用戶登錄和用戶賬號管理進(jìn)行集中。如果在一個企業(yè)中有 6 個應(yīng)用系統(tǒng)，一次若是變更 10 個人員，系統(tǒng)管理員也需要維護(hù) 60 個人的信息，然而想這樣的企業(yè)調(diào)整的人員信息肯定不止 10 人，這中原始的信息管理方法極大的阻礙的信息管理的高效性。 通過慧都的 UPMS 通用用戶權(quán)限系統(tǒng)，用戶只需要對接入的應(yīng)用系統(tǒng)設(shè)置勾選開啟單點(diǎn)登錄，便可只輸入一次用戶名密碼，即可訪問權(quán)限允許的所有接入系統(tǒng)，如下圖： 在這次的 UPMS 通用用戶權(quán)限系統(tǒng)升級中加入了單點(diǎn)登錄功能，用戶可在 UPMS 中，可對接入系統(tǒng)進(jìn)行進(jìn)行勾選設(shè)置，來確認(rèn)是否開啟單點(diǎn)登錄功能，如下圖： 通過 UPMS 通用用戶權(quán) 限系統(tǒng)中的單點(diǎn)登錄可實現(xiàn)多種價值： ? 節(jié)省用戶在不同系統(tǒng)中登錄所用時 ? 減少用戶登錄出錯的幾率 ? 強(qiáng)化了安全性 ? 減少系統(tǒng)管理員增、刪、改用戶權(quán)限時間 ? 不用處理或是保存多個系統(tǒng)用戶的認(rèn)證信息 ? 簡單操作實現(xiàn)用戶登錄和賬號的集中管理 采用 CAS原理構(gòu)建單點(diǎn)登錄 單 點(diǎn)登錄（ Single Sign On , 簡稱 SSO ）是目前比較流行的服務(wù)于企業(yè)業(yè)務(wù)整合的解決方案之一， SSO 使得在多個應(yīng)用系統(tǒng)中，用戶 只需要登錄一次就可以訪問所有相互信任的應(yīng)用系統(tǒng)。 ? CAS Server 為需要獨(dú)立部署的 Web 應(yīng)用。圖 1 是 CAS 最基本的協(xié)議過程： 圖 1. CAS 基礎(chǔ)協(xié)議 CAS Client 與 受保護(hù)的客戶端應(yīng)用部署在一起，以 Filter 方式保護(hù)受保護(hù)的資源。 （ 4）系統(tǒng)自 動重定向到 Service （也就是要訪問的目的資源地址）地址，并為客戶端瀏覽器設(shè)置一個 Ticket Granted Cookie（ TGC）。 另外， CAS 協(xié)議中還提供了 Proxy （代理）模式，以適應(yīng)更加高級、復(fù)雜的應(yīng)用場景，具體介紹可以參考 CAS 官方網(wǎng)站上的相關(guān)文檔。認(rèn)證機(jī)制可以有很多種，例如自己寫一個認(rèn)證程序，或者使用一些標(biāo)準(zhǔn)的認(rèn)證方法，例如 LDAP 或者數(shù)據(jù)庫等等。 CAS 使用的是所謂的 Ticket。 ? 然后單點(diǎn)登錄服務(wù)器會在 客戶端 創(chuàng)建一個 Cookie。不過此時 CAS 服務(wù)器不再要求用戶輸 入 用戶名和密碼，而是首先自動尋找 Cookie，根據(jù) Cookie 中保存的信息，進(jìn)行登錄。 CAS 被設(shè)計為一個獨(dú)立的 Web應(yīng)用，目前是通過若干個 Java servlets 來實現(xiàn)的。當(dāng)然也可以在應(yīng)用程序的主界面上增加一個登錄之類的按鈕，來完成跳轉(zhuǎn)工作。它要求用戶輸入用戶名和密碼，就像普通的登錄界面一樣。這種 cookie并不是真的保存在內(nèi)存中，而只是瀏覽 器一關(guān)閉， cookie 就自動過期。這個 ticket 是一次性使用的一種憑證，它只對登錄成功的用戶及其服務(wù)使用一次。CAS 重定向的時候，將 ticket 作為一個參數(shù)傳遞回去。校驗 URL 也是 CAS 服務(wù)器提供的。 ? 以后其他應(yīng)用程序就使用這個 cookie進(jìn)行認(rèn)證（當(dāng)然通過 CAS 的客戶端），而不再需要輸入用戶名和密碼。 關(guān)鍵字： SSO, Java, J2EE, JAAS 1 什么是單點(diǎn)登陸 單點(diǎn)登錄（ Single Sign On），簡稱為 SSO，是目前比較流行的企業(yè)業(yè)務(wù)整合的解決方案之一。這些系統(tǒng)的目 的都是讓計算機(jī)來進(jìn)行復(fù)雜繁瑣的計算工作，來替代人力的手工勞動，提高工作效率和質(zhì)量。 隨 著企業(yè)的發(fā)展，業(yè)務(wù)系統(tǒng)的數(shù)量在不斷的增加，老的系統(tǒng)卻不能輕易的替換，這會帶來很多的開銷。 為了降低管理的消耗，最大限度的重用已有投資的系統(tǒng)，很多企業(yè)都在進(jìn)行著企業(yè)應(yīng)用集成（ EAI）。整合以前，進(jìn)入每個系統(tǒng)都需要進(jìn)行登錄，這樣的局面不僅給管理上帶來了很大的困難，在安全方面也埋下了重大的隱患。 2 單點(diǎn)登陸的技術(shù)實現(xiàn)機(jī)制 隨著 SSO技術(shù)的流行， SSO 的產(chǎn)品也是滿天飛揚(yáng)。頤和園是北京著名的旅游景點(diǎn)，也是我常去的地方。他們只需要在每個景點(diǎn)門 口出示一下剛才買的套票就能夠被允許進(jìn)入每個獨(dú)立的景點(diǎn)。 統(tǒng)一的認(rèn)證系統(tǒng)是 SSO的前提之一。應(yīng)用系統(tǒng)應(yīng)該能對 ticket 進(jìn)行識別和提取，通過與認(rèn)證系統(tǒng)的通訊，能自動判斷當(dāng)前用戶是否登錄過，從而完成單點(diǎn)登錄的功能。 統(tǒng)一的認(rèn)證系統(tǒng)并不是 說只有單個的認(rèn)證服務(wù)器，如下圖所示，整個系統(tǒng)可以存在兩個以上的認(rèn)證服務(wù)器，這些服務(wù)器甚至可以是不同的產(chǎn)品。 3 WEBSSO 的實現(xiàn) 隨著互聯(lián)網(wǎng)的高速發(fā) 展， WEB 應(yīng)用幾乎統(tǒng)治了絕大部分的軟件應(yīng)用系統(tǒng)，因此 WEBSSO是 SSO 應(yīng)用當(dāng)中最為流行。 為什么說 WEBSSO 比較容易實現(xiàn)呢？這是有 WEB 應(yīng)用自身的特點(diǎn)決定的。如下圖，瀏覽器向 Web 服務(wù)器發(fā)送了兩個請求，申請了兩個頁面。這樣的方 式大大區(qū)別于傳統(tǒng)的（ Client/Server） C/S 結(jié)構(gòu) ,在那樣的應(yīng)用中，客戶端和服務(wù)器端會建立一個長時間的專用的連接通道。例如用戶在訪問頁面 1 的時候進(jìn)行了登錄，但是剛才也提到，客戶端的每個請求都是單獨(dú)的連接，當(dāng)客戶再次訪問頁面 2 的時候，如何才能告訴 Web 服務(wù)器，客戶剛才已經(jīng)登錄過了 呢？瀏覽器和服務(wù)器之間有約定：通過使用 cookie 技術(shù)來維護(hù)應(yīng)用的狀態(tài)。 為了完成一個簡單的 SSO 的功能，需要兩個部分的合作： 統(tǒng)一的身份認(rèn)證服務(wù)。此 樣例所有的源代碼和二進(jìn)制代碼都可以從網(wǎng)站地址 下載。樣例部署和運(yùn)行的環(huán)境有一定的要求，需要符合 以上