【文章內(nèi)容簡介】 要的憑據(jù)時，第2次和第3次的過程是不斷重復后，客戶端有權(quán)訪問其他資源。 安全斷言標記語言（SAML）是一種基于XML的開放式標準，交換安全域，即身份提供者和服務之間的認證和授權(quán)的數(shù)據(jù)供應商使用SAML，在線服務提供商的聯(lián)系人的在線身份提供哪些驗證誰試圖訪問安全內(nèi)容的用戶。 SAML沒有規(guī)定如何驗證用戶。而它定義了一種方法，一旦用戶是交換認證和授權(quán)數(shù)據(jù)驗證。 SAML是不是一系列基于XML的消息的所謂的斷言，詳細說明而已用戶是否被認證（認證斷言），有什么樣的權(quán)利，角色和訪問基于（屬性斷言），他們已經(jīng)和他們?nèi)绾问褂玫臄?shù)據(jù)和資源（授權(quán)斷言）對這些權(quán)利和角色。它使用HTTP，SMTP，F(xiàn)TP和SOAP，以及其他協(xié)議和技術傳輸這些斷言。 OpenID登錄OpenID是一個分散的身份驗證協(xié)議。的OpenID包括三個主要實體：1）在OpenID的標識符：文本或電子郵件地址唯一標識用戶的字符串； 2）OpenID依賴方（RP）：Web應用程序或服務提供商想要證明最終用戶擁有該標識；3）OpenID提供者（OP）：一個中央服務器的問題，商店和管理用戶的OpenID的標識符。依托雙方依靠此提供一個論斷，即最終用戶擁有該標識。主要有四種方法的OpenID協(xié)議中使用：，，4驗證。發(fā)現(xiàn)：最終用戶憑用戶提供的標識符到依賴方發(fā)起認證通過他們的瀏覽器。 RP就可以執(zhí)行發(fā)現(xiàn)（發(fā)現(xiàn)），并建立了OP端點URL其中所使用的用戶進行身份驗證。認證：RP最終用戶的瀏覽器重定向到一個OpenID認證請求OP。 OP建立了端用戶是否被授權(quán)。 OP重定向最終用戶的瀏覽器返回到向RP要么是斷言，認證認可，或一條消息，驗證失敗。關聯(lián)關系：使用DiffieHellman密鑰的RP和OP建立共享秘密的關聯(lián)建立交換。 OP使用該協(xié)會簽署后續(xù)的消息和RP驗證這些消息。此不再需要后續(xù)的直接要求每個認證后，驗證簽名請求/響應。驗證：RP驗證從OP包括檢查返回URL接收到的信息，驗證發(fā)現(xiàn)的信息，檢查隨機數(shù)，并通過使用所述共享密鑰驗證所述簽名在協(xié)會或通過發(fā)送一個直接請求OP建立。在當前的數(shù)字世界中，用戶可能需要訪問多個系統(tǒng)來開展他們的一天活動。系統(tǒng)的數(shù)量在不斷地增加，每個用戶需要記憶的憑證數(shù)量也隨之增加并由此帶來的可能失去或忘記他們的密碼事件也增加了。單點登錄，可以用來解決涉及用于不同應用程序的多個憑證的許多問題。單點登錄訪問主要認證中心可以讓用戶訪問所有可用的其他資源。 SSO幫助用戶解決記住多個密碼的煩惱，也提高了用戶和開發(fā)人員的生產(chǎn)力，減少用戶花費在輸入各種密碼的登錄時間。 從不同的角度和角色進行分析單點登錄的優(yōu)點：用戶角度：提高了用戶的工作效率，告別了繁瑣的登錄過程，減少了登錄時間，更加避免了大量密碼需要記住的煩惱，減少了因為密碼相同或者在筆記本中記錄密碼而發(fā)生泄漏的危險。管理員角度：簡化了管理員日常的管理工作，管理員不需要頻繁的幫助用戶找回密碼，并且有利于管理員進行管理，在有人員變動時，不需要一個個應用系統(tǒng)的操作，能夠?qū)崿F(xiàn)快速的整合添加應用系統(tǒng)，委派訪問權(quán)限時候也減少了管理員的工作量。 基于CAS單點登錄模型 CAS背景及特點 CAS（Central Authentication Service）是Yale發(fā)起的一個項目，它為了實現(xiàn)一種企業(yè)級的WEB單點登錄項目。這個項目是開源的，提供多種協(xié)議解決方案，支持多種認證機構(gòu)，比如Active Directory、LDAP、JDBC、JAAS等 。它的安全策略采用票據(jù)的方式，支持授權(quán)，可以決定哪些服務可以請求驗證票據(jù)服務，它提高了單點登錄的可用性，同時支持多種客戶端，如Java、PHP、Apache、Perl、.Net等。 CAS結(jié)構(gòu)體系 CAS包括兩部分組成：一部分是CAS Client，它和應用系統(tǒng)客戶端部署在一起，用戶登錄時，將用戶重定向到服務器，并將用戶名和密碼傳遞給服務器進行驗證。另一部分是CAS Server，它負責將客戶端傳遞過來的參數(shù)進行認證，認證成功后返回票據(jù)給客戶端，并完成票據(jù)的兌換等工作。 CAS原理基本原理 當用戶第一次通過web瀏覽器訪問資源時候，CAS客戶端和應用系統(tǒng)客戶端部署在一起，會直接跳轉(zhuǎn)至CAS Client端，進行對用戶身份的驗證，用戶在CAS Client端需要提交用戶名和密碼，客戶端重定向回CAS Server，將用戶的用戶名和密碼提交給CAS Server,同時將用戶需要訪問的資源地址發(fā)送給CAS Server，CAS 進行驗證用戶身份，如果用戶是合法身份，將會給用戶產(chǎn)生一個Ticket，作為用戶的身份標識，CAS Server并將生成的Ticket和Service返回給CAS客戶端，客戶端進行票據(jù)的驗證，CAS Server通過票據(jù)獲取到用戶的用戶名，用戶名合法后，允許用戶訪問應用系統(tǒng)或者資源，CAS認證結(jié)束。： CAS 實現(xiàn)單點登錄原理 當用戶第一次通過瀏覽器訪問資源的時候，會獲取客戶端的Session，如果客戶端存在Session，證明會話沒有注銷直接訪問到資源，但是我們是首次登錄，所以在客戶端中檢測不到session，則重新定向會瀏覽器，然后獲取瀏覽器中的cookie，將cookie中的TGT發(fā)送給CAS服務端進行請求認證，如果已經(jīng)登錄則返回ST給客戶端，然后客戶端用這個ST兌換用戶名登錄資源，但是由于是首次登錄，所以無TGT或TGT錯誤，返回登錄頁面，輸入用戶名密碼后，重定向回CAS服務端進行身份認證，認證成功后，返回ST并重定向回瀏覽器，瀏覽器重定向回CAS客戶端，請求認證ST，確認ST已經(jīng)登錄后，在CAS客戶端創(chuàng)建Session，登陸成功后重定向回請求地址，訪問資源，如果不注銷登錄，當下次訪問資源時候，先去CAS客戶端獲取Session，獲取到直接登錄，不用再次輸入用戶名密碼，如果為獲取到，去瀏覽器中cookie中獲取票據(jù)，獲取到后直接兌換用戶名登錄。 3 基于Windows AD域擴展單點登錄技術設計與分析 上面我們主要介紹了CAS原理和單點登錄機制以及Windows AD域的登錄原理。這次我們將CAS單點登錄系統(tǒng)和Windows AD域身份認證整合，即身份認證部分交給Windows AD域進行認證，而單點登錄則由CAS實現(xiàn)，采取這種設計方案的原因，現(xiàn)在很多公司都在使用Windows AD域進行人員管理，而CAS是支持和Windows AD域整合的，而且Windows AD域認證方式更加的安全可靠，基于以上幾點我們采用基于Windows AD域擴展單點登錄技術的實現(xiàn)。 CAS私有域登錄框架 我們將AD域和CAS相結(jié)合的方式實現(xiàn)單點登錄，而實現(xiàn)的媒介是Portal，它起到鏈接認證和AD域整合的作用，AD域進行身份認證，當用戶訪問資源或者Portal時候，如果沒有進行身份認證，即非域終端訪問時候，會自動彈出AD域認證框進行身份認證，而如果客戶端進行身份認證后，即域終端訪問資源或者Portal時候，無需再進行身份認證，此處實現(xiàn)的是AD域單點登錄。身份認證后將單點登錄交給我們模擬CAS認證的服務中心DTSSO進行單點登錄，單點登錄主要涉及到申請票據(jù)和兌換票據(jù)的過程，即用戶身份認證后，訪問資源的時候會去DTSSO申請票據(jù)，DTSSO將票據(jù)頒發(fā)給受信任的用戶，然后用戶攜帶票據(jù)去訪問資源時候，需要找DTSSO進行票據(jù)兌換，去進行用戶名驗證，如果驗證成功則允許用戶訪問資源。DTSSO票據(jù)服務： DTSSOServlet:調(diào)用申請票據(jù)的webservice接口，申請票據(jù)Filter:調(diào)用兌換票據(jù)的webservice接口，兌換票據(jù) CAS私有域票據(jù) CAS私有域票據(jù)是CAS單點登錄實現(xiàn)的重要組成部分，票據(jù)的基本信息包括：ID，userADnameID，expireTime，exchangeTimes，ticketGenerateTime等。ID作為票據(jù)的唯一標識為了區(qū)分票據(jù)的身份，userADnameID是AD域賬號的唯一標識，用來作為身份驗證的信息，而票據(jù)的產(chǎn)生是具有有效期限的，一般設置為30秒，因為我們設置了票據(jù)的有效時間所以我們?yōu)榱四軌蛴嬎闫睋?jù)的有效時間，我們必須用一個關鍵詞作為票據(jù)的產(chǎn)生時間，即ticketGenerateTime，而票據(jù)產(chǎn)生后