ki4so架构和实现的介绍.ppt

目录 BidLink(Beijing)E-Biz Tech co.,LTD 必联（北京）电子商务科技有限公司 Thanks! 2013-04-18 知识回顾Knowledge Review SSO架构和实现 必联（北京）电子商务科技有限公司 魏建军 目录 一.认证（Authentication） 二.单点登录（SSO） 三.设计（Design） 四.架构（Architecture） 五.实现（Implement） 认证（Authentication） 区别： 认证Authentication Who are you? 你是谁？ 授权Authorization What you can do？你可以做什么？ 联系： 不可分割，授权之前需要先认证 Authentication&Authorization Authentication 凭证（Credential） 用户名密码 证书X509 指纹 常见的系统： Authentication CAS，OpenID Authorization OAuth 认证（Authentication）系统演化 认证系统分类： 桌面认证和web认证,混合认证 用户库1 用户库2 用户库3 系统1 系统2 系统3 阶段一 每个系统一个用户库 系统1 中心库 系统3 系统2 阶段二 共用一个用户库，各个子系统负责登陆，退出 Web1 得到 呆呆地 Web2 个性信息 中心库 App2 App1 阶段三：Passport(SSO) 多网站，分app 每个子系统有个性的用户信息 SSO优点： 统一的登录流程，验证码，激活，手机绑定，登录安全控制 单点登录（SSO） 什么是SSO SSO：单点登录，是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。 两个误区： 1，单一的用户信息库（数据库，文件系统，LDAP）不是必须的 2，统一的认证系统并不是单个认证服务器 分类：桌面SSO ，WebSSO，混合SSO yale-CAS分析 优点： 统一的协议，标准化 缺点： 基于Session,单点服务器压力过大，不适合互联网 Session 分布式最大的敌人 客户端Cookie存储一个名叫sessionid随机字符串，每次HTTP请求携带该cookie，Web服务器以此作为key，在内存中对应相应的Seesion信息，实现用户的认证。 设计Design 基于Cookie的解决方案 Cookie跨域的问题 P3p iframe jsonp Cookie大小问题 4K 解决的问题 1，单点登录 2，统一退出 3，用户信息操作 集中式，分散式（子系统有修改用户信息的界面，易用性，用户界面考虑） 4，可扩展 5，安全高效 架构Architecture 系统架构 SSO KEY SERVER SSO PORTAL SSO service center WEB-x2 APP WEB-x1 实现Implement 基于Cookie Cookie里面保存用户凭证（Credential） 把用户ID等身份信息，从服务器端（Session）转移到浏览器 用户凭证（Credential）结构 Credential一般以BASE64字符串的形式存在cookie中（或者url中） Credential中包含的加密信息, SSO应用系统均拥有Credential密钥，可解开该Credential以获取用户的身份信息。 Credential具有一定的有效期。 Credential包含的信息包括： 加密信息：用户ID、 Credential生成时间、Credential失效时间 Nonce, Hash (可选：用户IP，用户名) 未加密信息：对应密钥编号、AppID 用户登录流程 1. 浏览网站1 2. 访问页面 3. 303跳转[带上返回地址] 4. 请求登录网页[带上站点返回地址] 5. 200 OK[登录表单] 6. 输入账号密码 7. 提交表单[带上站点返回地址] 8. 303跳转[设置SSO站点Cookie，Url中带上凭证] 9. 访问页面[Url带凭证] 10. 200 OK[设置凭证到Cookie] 11. 访问页面[Cookie带凭证] 12. 200 OK 应用站点 用户 浏览器 SSO 子站点直接登陆 可以采用Ajax方式，提升用户体验。 用户凭证Credential两种校验方法 Credential App Server SSO Serv