⑴ 什麼是cas單點登錄
CAS是一個單點登錄框架,開始是由耶魯大學的一個組織開發,後來歸到apereo去管。 同時CAS也是開源,遵循著apache 2.0協議,代碼目前是在github上管理。單點登錄:Single Sign On,簡稱SSO,SSO使得在多個應用系統中,用戶只需要登錄一次就可以訪問所有相互信任的應用系統。CAS 是 Yale 大學發起的一個開源項目,旨在為 Web 應用系統提供一種可靠的單點登錄方法,CAS 在 2004 年 12 月正式成為 JA-SIG 的一個項目。cas單點登錄目前國內玉符科技技術實力可以,可以考察,望採納!
⑵ CAS單點登錄原理分析(一)
一,業務分析
在分布式系統架構中,假設把上述的三個子系統部署在三個不同的伺服器上。前提是用戶登錄之後才能訪問這些子系統。那麼使用傳統方式,可能會存在這樣的問題:
1.當訪問用戶中心,需要用戶登錄帳號
2.當訪問購物車,還需要用戶登錄帳號
3.當訪問商品結算,又一次需要用戶登錄帳號
訪問每一個子系統都需要用戶登錄帳號,這樣的體驗對於用戶來說是極差。而使用單點登錄就可以很好地解決上述的問題。
二,單點登錄
單點登錄(Single Sign On),簡稱為 SSO,是目前比較流行的企業業務整合的解決方案之一。SSO 的定義是在多個應用系統中,用戶只需要登錄一次就可以訪問所有相互信任的應用系統。
我們目前的系統存在諸多子系統,而這些子系統是分別部署在不同的伺服器中,那麼使用傳統方式的 session 是無法解決的,我們需要使用相關的單點登錄技術來解決。
第一步 :用戶訪問應用系統1。過濾器判斷用戶是否登錄,沒有登錄,則重定向(302)到認證系統去進行認證操作。
第二步 :重定向到認證系統,顯示登錄界面,用戶輸入用戶名密碼。認證系統將用戶登錄的信息記錄到伺服器的session中。
第三步 :認證系統給瀏覽器發送一個特殊的憑證ticket,瀏覽器將憑證交給應用系統1,應用系統1則拿著瀏覽器交給他的憑證ticket去認證系統驗證憑證ticket是否有效。憑證ticket若是有效,將用戶信息保存到應用系統1的session中一份,並告知應用系統1,用戶通過認證。
第四步 :用戶通過認證,瀏覽器與網站之間進行正常的訪問。
第五步 :當用戶再次訪問應用系統1,由於應用系統1的session中有用戶信息,所以就不用經過認證系統認證,就可以直接訪問應用系統1了。
第六步 :當用戶再去訪問其他應用系統時,瀏覽器會帶著憑證ticket過去,其他應用系統到認證系統驗證憑證,憑證ticket若是有效,將用戶信息保存到其他應用系統的session中一份,並告知其他應用系統,用戶通過認證。
第七步 :用戶通過認證,瀏覽器與網站之間進行正常的訪問。
第八步 :當用戶再次訪問其他應用系統,由於其他應用系統的session中有用戶信息,所以就不用經過認證系統認證,就可以直接訪問其他應用系統了。
三、Yelu大學研發的CAS(Central Authentication Server)
1.什麼是CAS?
CAS 是 Yale 大學發起的一個開源項目,旨在為 Web 應用系統提供一種可靠的單點登錄方法,CAS 在 2004 年 12 月正式成為 JA-SIG 的一個項目。CAS 具有以下特點:
【1】開源的企業級單點登錄解決方案。
【2】CAS Server 為需要獨立部署的 Web 應用。這個CAS框架已經提供
【3】CAS Client 支持非常多的客戶端(這里指單點登錄系統中的各個 Web 應用),包括Java, .Net, php, Perl, Apache, uPortal, Ruby 等。
從結構上看,CAS 包含兩個部分: CAS Server 和 CAS Client。CAS Server 需要獨立部署,主要負責對用戶的認證工作;CAS Client 負責處理對客戶端受保護資源的訪問請求,需要登錄時,重定向到 CAS Server。下圖是 CAS 最基本的協議過程:
2.CAS的詳細登錄流程
該圖主要描述
1.第一次訪問http://shopping.xiaogui.com
2.在登錄狀態下第二次訪問http://shopping.xiaogui.com
3.在登錄狀態下第一次訪問http://pay.xiaogui.com
下面對圖中序號代表的操作進行說明
當用戶第一次訪問http://shopping.xiaogui.com
序號1: 用戶請求http://shopping.xiaogui.com,會經過AuthenticationFilter認證過濾器(在cas client 的web.xml中配置)
主要作用:判斷是否登錄,如果沒有登錄則重定向到認證中心。
大概知道這個就行,CAS的具體實現會在以後的博客中寫道
序號2: AuthenticationFilter發現用戶沒有登錄,則返回瀏覽器重定向地址。
重定向的地址就是認證伺服器CAS Server的地址,後面的參數是我們請求的客戶端地址,這個參數目的就是為了認證成功以後,根據這個參數的地址重定向回請求的客戶端
序號3: 瀏覽器根據響應回來的重定向地址,向cas.xiaogui.com認證系統發出請求
序號4: 認證系統cas.xiaogui.com接收請求,響應登陸頁面
序號5: :用戶登陸頁面輸入用戶名密碼,提交請求
序號6: :CAS Server 認證伺服器接收用戶名和密碼,就行驗證,驗證邏輯CAS Server 已經實現,並響應給瀏覽器信息
這里的用戶名,密碼不需要關心,後續會講到
圖中1,2部分表示序號5 輸入的用戶名,密碼,以及發出的請求。當認證伺服器驗證通過之後,根據請求參數service的值,進行重定向,其實就是回到了請求的客戶端,同時會攜帶一個ticket令牌參數。同時會在Cookie中設置一個TGC,該cookie是網站認證系統cas.xiaogui.com的cookie,只有訪問這個網站才會攜帶這個cookie過去。
*****注意:這個攜帶TGC的Cookie是實現CAS單點登錄的關鍵所在!
Cookie中的TGC:向cookie中添加該值的目的是當下次訪問cas.xiaogui.com認證系統時,瀏覽器將Cookie中的TGC攜帶到伺服器,伺服器根據這個TGC,查找與之對應的TGT。從而判斷用戶是否登錄過了,是否需要展示登錄頁面。TGT與TGC的關系就像SESSION與Cookie中SESSIONID的關系。
TGT:Ticket Granted Ticket(俗稱大令牌,或者說票根,他可以簽發ST)
TGC:Ticket Granted Cookie(cookie中的value),存在Cookie中,根據他可以找到TGT。
ST:Service Ticket (小令牌),是TGT生成的,默認是用一次就生效了。也就是上面數字3處的ticket值。
序號7: 客戶端拿到請求中的ticket信息,也就是圖中1的位置
然後經過一個ticket過濾器,去認證系統CAS Server判斷ticket是否有效
這個過濾器的主要工作就是校驗客戶端傳過來的ticket是否有效
CAS Client 客戶端 shopping.xiaogui.com 中web.xml的配置
序號8: 向CAS Server認證系統發出驗證ticket的請求,也就是圖中2的位置,然後執行ticket驗證
序號9: 通過校驗之後,把用戶信息保存到客戶端的session中,並把客戶端的SessionID設置在Cookie中,同時告知客戶端ticket有效。當用戶再次訪問該客戶端,就可以根據Cookie 中的SessionID找到客戶端的Session,獲取用戶信息,就不用再次進行驗證了。也就是圖中響應給瀏覽器的部分。
序號10: shopping.xiaogui.com客戶端接收到cas-server的返回,知道了用戶已經登錄,ticket有效,告知瀏覽器可以進行訪問。
至此,用戶第一次訪問流程結束。
當用戶第二次訪問http://shopping.xiaogui.com
序號11: 當用戶第二次訪問,仍然會經過AuthenticationFilter過濾器,但與第一次訪問不同的是此時客戶端session中已經存在用戶的信息,瀏覽器中的Cookie會根據SessionID找到Session,獲取用戶信息,所以不需要進行驗證,可以直接訪問。
序號12: 客戶端告知瀏覽器可以進行訪問。
當用戶第一次訪問http://pay.xiaogui.com
序號13: 用戶向pay.xiaogui.com CAS Client客戶端發出請求
序號14: :pay.xiaogui.com接收到請求,發現第一次訪問,於是給他一個重定向的地址,讓他去找認證中心登錄。
序號15: 瀏覽器根據上面響應的地址,發起重定向,因為之前訪問過一次了,因此這次會攜帶上次返回的Cookie:TGC到認證中心。
序號16: 認證中心收到請求,發現TGC對應了一個TGT,於是用TGT簽發一個ticket,並且返回給瀏覽器,讓他重定向到pay.xiaogui.comCAS Client客戶端。
序號17: 根據上面響應回來的地址,進行重定向到pay.xiaogui.comCAS Client客戶端
序號18: pay.xiaogui.comCAS Client客戶端帶著ticket去認證中心驗證是否有效。
序號19: 認證成功,把用戶信息保存到客戶端的session中,並把客戶端的SessionID設置在Cookie中。當用戶下次訪問pay.xiaogui.comCAS Client客戶端,直接登錄,無需驗證。
序號20: 告知瀏覽器可以進行訪問
CAS單點登錄的原理分析大致就是上述的這些,至於CAS單點登錄的具體實現,將在下篇博客中寫道。
⑶ SSO是什麼
SSO指的是單點登錄(Single Sign On),當用戶在身份認證伺服器上登錄了一次以後,即可獲得訪問單點登錄系統中其他聯邦系統和應用軟體的許可權。
同時這種實現是不需要管理員對用戶的登錄狀態或其他信息進行修改的,這意味著在多個應用系統中,用戶只需一次登錄就可以訪問所有相互信任的應用系統。
單點登錄是多個相關但獨立的軟體系統的訪問控制的屬性。使用此屬性,用戶使用單個ID和密碼登錄,以便在不使用不同用戶名或密碼的情況下訪問已連接的系統,或者在某些配置中在每個系統上無縫登錄。
單點登錄通常使用輕量級目錄訪問協議(LDAP)和(目錄)伺服器上存儲的LDAP資料庫來完成,可以使用cookie在IP網路上實現簡單版本的單點登錄。
圖為一種SSO系統:
實現機制
當用戶第一次訪問應用系統1的時候,因為還沒有登錄,會被引導到認證系統中進行登錄;根據用戶提供的登錄信息,認證系統進行身份校驗,如果通過校驗,應該返回給用戶一個認證的憑據--ticket;
用戶再訪問別的應用的時候就會將這個ticket帶上,作為自己認證的憑據,應用系統接受到請求之後會把ticket送到認證系統進行校驗,檢查ticket的合法性。如果通過校驗,用戶就可以在不用再次登錄的情況下訪問應用系統2和應用系統3了。
SSO的優勢
1、降低訪問第三方站點的風險(未在外部存儲或管理的用戶密碼)。
2、從不同的用戶名和密碼組合減少密碼疲勞。
3、減少重新輸入相同身份的密碼所花費的時間。
4、由於關於密碼的IT服務台呼叫數量減少,降低了IT成本。
5、SSO共享所有其他應用程序和系統用於身份驗證的集中身份驗證伺服器,並將其與技術相結合,以確保用戶不必多次主動輸入其憑據。
⑷ 單點登錄是什麼
單點登錄Single Sign On簡稱為SSO,是目前比較流行的企業業務整合的解決方案之一。F5 BIG-IP Edge Gateway解決方案藉助SSO改進用戶體驗。SSO的定義是在多個應用系統中,用戶只需要登錄一次就可以訪問所有相互信任的應用系統。
企業應用集成(EAI)。企業應用集成可以在不同層面上進行:例如在數據存儲層面上的「數據大集中」,在傳輸層面上的「通用數據交換平台」,在應用層面上的「業務流程整合」,和用戶界面上的「通用企業門戶」等等。事實上,還用一個層面上的集成變得越來越重要,那就是「身份認證」的整合,也就是「單點登錄」。
單點登錄的技術實現機制:當用戶第一次訪問應用系統1的時候,因為還沒有登錄,會被引導到認證系統中進行登錄;
根據用戶提供的登錄信息,認證系統進行身份效驗,如果通過效驗,應該返回給用戶一個認證的憑據--ticket;用戶再訪問別的應用的時候,就會將這個ticket帶上,作為自己認證的憑據,應用系統接受到請求之後會把ticket送到認證系統進行效驗,檢查ticket的合法性。如果通過效驗,用戶就可以在不用再次登錄的情況下訪問應用系統2和應用系統3了。
可以看出,要實現SSO,需要以下主要的功能:
所有應用系統共享一個身份認證系統;
所有應用系統能夠識別和提取ticket信息;
應用系統能夠識別已經登錄過的用戶,能自動判斷當前用戶是否登錄過,從而完成單點登錄的功能。
其中統一的身份認證系統最重要,認證系統的主要功能是將用戶的登錄信息和用戶信息庫相比較,對用戶進行登錄認證;認證成功後,認證系統應該生成統一的認證標志(ticket),返還給用戶。另外,認證系統還應該對ticket進行效驗,判斷其有效性。整個系統可以存在兩個以上的認證伺服器,這些伺服器甚至可以是不同的產品。認證伺服器之間要通過標準的通訊協議,互相交換認證信息,就能完成更高級別的單點登錄。
F5 BIG-IP Edge Gateway解決方案藉助SSO改進用戶體驗,簡化移動/遠程員工的身份驗證流程不僅能夠提升用戶體驗,還能夠最大限度降低安全風險,並減少密碼鎖閉呼叫幫助中心的次數。F5 BIG-IP Edge Gateway能夠緩存登錄證書,並支持在登錄過程中身份驗證。如果發生連接掉線,用戶將被自動重新執行身份驗證。
⑸ 單點登錄解決什麼問題以及方案
單點登錄,例如你在這台機器上登錄了,伺服器保留你一個活躍的會話,然後你又在未注銷的前提下到另一台機器上登錄,如果沒有單點登錄,伺服器默認這兩個會話都是有效的。那麼這樣安全性會受到影響,例如密碼丟失,資源沖突之類。單點登錄就是會話的統一管理,你用這個用戶名和密碼登錄後產生的這個會話,在另一次登錄如果用戶名和密碼(或者其他標志位)相同,則結束當前會話,始終維持你的唯一的一個會話。
⑹ 談談單點登錄
寒假學習的小課題,把之前的筆記整理整理記錄一下(長文警告)因為當時看到的東西涉及很多,所以有一些地方沒有深入去探討。
網路:單點登錄(Single Sign On),簡稱為 SSO,是目前比較流行的企業業務整合的解決方案之一。SSO的定義是在多個應用系統中,用戶只需要登錄一次就可以訪問所有相互信任的應用系統。
簡而言之就是用戶在多個相互信任的應用系統中,只需要登錄一次,就可以訪問其他相互信任的應用系統。這里的關鍵是一次登錄,以及一次退出,都對所有的系統生效。
在普通的登錄中,比如典型的B/S情景,瀏覽器訪問伺服器,發送登錄請求,在發送完用戶名和密碼之後,伺服器會生成該用戶的session來標准該用戶的狀態,比如已登錄還是已注銷,並給一個cookie給瀏覽器,因此,用戶繼續訪問就會帶上這個cookies,服務端會根據這個Cookie找到對應的session,通過session來判斷這個用戶的登錄狀態。比如php中使用phpsessid。當然也可以自定義session的生命周期,session的生命周期過長的話一旦session被盜用就會出現用戶被竊取的情況。同時,生命周期過長的session配置會佔用較多的伺服器資源。
單點登錄主要針對同平台下多應用,多系統的情景下多次登錄的一種解決方案。單點登錄相當於將多個應用的認證體系聯通。
假設現在一個平台上有3個都帶有登錄功能的應用,由上面的普通登錄的情況可以想到,這3台伺服器都會自己的記錄session。那麼要想達到單點登錄,一個最簡單的方法就出現了:共享session。
共享session的方式來實現單點登錄是最方便也是最直接的。在三個子系統中,使用同一個額外的記錄session的伺服器,比如我們可以使用一個redis伺服器來存儲三個系統的session。
用戶登錄了應用1,獲取了應用1返回的cookies,再次訪問應用1的其他功能的候攜帶了cookie就是已登錄的狀態了,但是這樣又有新的問題,雖然實現了共享session,但是用戶登錄了應用1,獲取了應用1返回的cookie,但是因為cookie是無法跨域的,因此用戶無法使用應用1的cookie去訪問應用2。這里我們就需要將系統的全局cookie domain的屬性設置為頂級域名,比如應用1的域名是1.test.com,應用2的域名是2.test.com。在普通登錄的情況下,應用1的cookie domain的屬性是1.test.com,指這個cookie只能在該子域名上被使用。我們將系統的全局cookie domain設置為頂級域名,即.test.com,這樣就可以實現用戶登錄了應用1,之後可以以已登錄狀態訪問應用2和3。
上面的共享session的情況是三個應用都有登錄功能,還有一種類似的情況是應用1和應用2都有登錄模塊和其他模塊,還有一個單獨的SSO系統,是僅有登錄模塊的:
共享session的方法雖然簡單,但是存在局限性,因為使用了cookie頂域的特性,所以不能做到跨域。一個公司或者一個平台很可能不是所有的域名都在在一個一級域名之下的,所以同域名下的單點登錄並不是完整的單點登錄。
先說說openid,openid是一種認證標准,規定如何認證的標准!即其關注的是登錄時身份的認證。官方給出的一個場景,其中一方是一個openid身份伺服器,用來存放注冊好的openid賬號,另一方是受這個openid身份伺服器信賴的服務或應用。openid協議就是提供openid身份伺服器和被信賴的服務或應用之間的通信的。比如我們在很多網站上可以使用QQ登錄,這里的騰訊的QQ就是openid的身份伺服器,我們所要登錄的網站就是受信賴的服務或應用。
在使用openid實現單點登錄的方法有很多,可以使用上面共享session的方法,即把openid帶在cookie裡面,但是這樣也會出現一樣的cookie跨域的問題。
在實際場景中,我們在訪問提供服務的應用時檢測到未登錄就會直接跳轉到openid身份伺服器,或者沒有重定向而是在登錄表單附近點擊選擇使用第三方openid登錄,進行賬號密碼登錄(這可以保證我們所登錄的伺服器無法獲取我們的敏感身份認證信息),具體流程如下:
CAS全稱為Central Authentication Service即中央認證服務,是一個企業多語言單點登錄的解決方案,並努力去成為一個身份驗證和授權需求的綜合平台。CAS就是一個現成的單點登錄的demo,企業只需要簡單修改就可使用。
CAS支持各種協議,SAML,OAuth,OpenID,OIDC等等,支持LDAP,Radius,JWTX,509等等進行身份認證和授權,還有各種常用語言的客戶端,Java,PHP,C# 等等。反正就是一個十分完整的,兼容性特別好的SSO框架。
簡單了解CAS是如何實現單點登錄的。在官網上可以看到其給出的一個 流程圖 ,。這個圖說的特別詳細,一下就能看懂,直接原圖上進行標注查看:
學習了上面幾種單點登錄的知識,結合實際場景可知,跨域單點登錄才是真正的單點登錄,因為實際情況下很多平台或者域名不可能都在一個一級域名下。在解決跨域單點登錄的問題的時候,上面也給說了幾種方式,但是究其根本,就是利用一個SSO認證中心來實現認證與授權的。當然,也會有其他的解決跨域單點登錄的方案,但是大體流程都與cas類似。
比如在上圖的11步驟,也可使用POST包,或者JSONP和iframe方法來跨域發送請求進行重定向。
在利用認證中心來實現單點登錄是現在比較普遍的解決方案,那麼有沒有不需要使用認證中心來解決跨域單點登錄的方案呢?
利用JSONP同步登錄狀態,大概流程流程如下:
在學習單點登錄的過程中,在其中認證的過程中授權令牌的傳遞等相關信息沒有特別詳細的說明,而且在思考單點登錄的時候也會有想過一個比較矛盾的問題:單點登錄的目標是為了讓用戶可以在相互信任的系統中一次登錄即可,但是如果真的是做到所有用戶都可以訪問所有系統,豈不是會帶來越權的問題,是否需要對不同的用戶以不同的授權,甚至限制訪問的應用,但是這樣是不是就不是原本狹義的單點認證?
在說單點登錄的認證和授權之前,先談一談我一直想弄清楚的統一身份認證和單點登錄的區別。說起單點登錄可能很少聽過,但是統一身份認證肯定不陌生,不管是企業還是高校都會有這種統一身份認證的系統。
統一身份認證最重要的一方面就是身份認證,另一方面就是和身份認證相關的授權控制,許可權控制。而單點登錄是多應用一次登錄,也可以叫統一登錄,可以理解為主要在認證方面。對於統一身份認證來說會有賬號管理,如LDAP,認證管理OAuth,SMAL等,因此我覺得,統一身份認證一般是包括狹義的單點登錄,狹義的單點登錄,即只需要滿足多應用一次登錄即可。但是現在的單點登錄,SSO系統並不僅僅是要求這些,他的范圍正在慢慢擴大。
單點登錄的認證和授權,前面說到的CAS實現單點登錄里就會看到需要ticket來進行認證,授權。CAS支持多種認證方案,比如OAuth,OpenID,SAML等等,我們可以來比較比較用這些協議的區別,或者說是在哪些場景下使用哪些認證方案較為合適。本身單點登錄是沒有許可權控制的功能的,但是因為這些認證協議的需求,自然支持了許可權控制。
在使用SAML進行認證的過程中,可以看到下圖,其是基本流程都差不多,這里需要注意的就是在用戶在認證中心成功登陸之後,重定向的時候返回的是一個SAML token,一個XML節點,這里的token會包括用戶的身份信息,用戶名等。
在OAuth2.0的標准中流程是和上面的基本相同,但是OAuth2因為客戶端並沒有一點是瀏覽器,所以token中默認是沒有簽名的。這里可能沒有體現出來,OAuth2的目標是授權,所以token更關注的是許可權,token在向認證伺服器驗證的時候就會有不同的授權,但是既然是授權,就間接實現了認證。
在傳統的認證中都是基於session機制的,具體的session模式上面也說了,根據其特性可知session的一些確定:
https://www.mutuallyhuman.com/blog/choosing-an-sso-strategy-saml-vs-oauth2/
https://yq.aliyun.com/articles/636281
https://juejin.im/post/5d0dbb7e6fb9a07f0420512d
⑺ sso單點登錄原理
sso單點登錄原理是當用戶在身份認證伺服器上登錄一次以後,即可獲得訪問單點登錄系統中其他關聯系統和應用軟體的許可權,同時這種實現是不需要管理員對用戶的登錄狀態或其他信息進行修改。
單點登錄系統基於一種安全的通信協議,該協議通過多個系統之間的用戶身份信息的交換來實現單點登錄。
使用單點登錄系統時,用戶只需要登錄一次,就可以訪問多個系統,不需要記憶多個口令密碼。單點登錄使用戶可以快速訪問網路,從而提高工作效率,同時也能幫助提高系統的安全性。
(7)伺服器單點登錄是什麼意思擴展閱讀
要實現SSO的功能,讓用戶只登錄一次,就必須讓應用系統能夠識別已經登錄過的用戶。應用系統應該能對ticket進行識別和提取,通過與認證系統的通訊,能自動判斷當前用戶是否登錄過,從而完成單點登錄的功能。
另外:
1、單一的用戶信息資料庫並不是必須的,有許多系統不能將所有的用戶信息都集中存儲,應該允許用戶信息放置在不同的存儲中,事實上,只要統一認證系統,統一ticket的產生和校驗,無論用戶信息存儲在什麼地方,都能實現單點登錄。
2、統一的認證系統並不是說只有單個的認證伺服器
當用戶在訪問應用系統1時,由第一個認證伺服器進行認證後,得到由此伺服器產生的ticket。當他訪問應用系統2的時候,認證伺服器2能夠識別此ticket是由第一個伺服器產生的,通過認證伺服器之間標準的通訊協議(例如SAML)來交換認證信息,仍然能夠完成SSO的功能。
⑻ 單點登錄是什麼意思
單點登錄是指用戶只需要登錄一次就可以訪問所有相互信任的應用系統。
單點登錄其中有一個非常關鍵的步驟,這個步驟與伺服器端驗證令牌方式無關,用最早的共享會話方式或當前的令牌方式,標識到瀏覽器端。用戶登錄成功後,瀏覽器如何在其他域名中存儲和共享令牌相同的域名非常簡單。
令牌存儲在cookie中路徑設置在頂級域名下,以便所有子域都可以讀取cookie中的令牌。這就是分享網路的方式。通常,運營和維護內部控制審計系統和4A系統都包含這一功能。其目的是簡化賬戶登錄流程,保護賬戶和密碼的安全,統一管理賬戶。
(8)伺服器單點登錄是什麼意思擴展閱讀
單點登錄可以提高用戶效率。用戶不再為多次登錄而煩惱,也不需要記住多次ID和密碼。此外,用戶會忘記自己的密碼,很少求助於支持人員。提高開發人員的效率為開發人員提供了一個通用的身份驗證框架。
事實上,如果機制是獨立的,開發人員根本不需要擔心身份驗證。只要將用戶名附加到應用程序的請求中,就可以假定身份驗證完成。如果應用程序加入單點登錄協議,那麼管理用戶帳戶的負擔就會減輕。簡化的程度取決於應用程序,因為SSO只處理身份驗證。
⑼ 什麼是單一登錄(單應用登錄),麻煩大神解答時盡量書面語言
單一登錄(SSO)是多個相關但獨立的軟體系統的訪問控制的屬性。使用此屬性,用戶使用單個ID和密碼登錄,以便在不使用不同用戶名或密碼的情況下訪問已連接的系統,或者在某些配置中在每個系統上無縫登錄。這通常使用輕量級目錄訪問協議(LDAP)和(目錄)伺服器上存儲的LDAP資料庫來完成。可以使用cookie在IP網路上實現簡單版本的單點登錄,但前提是這些站點共享一個共同的DNS父域。
為清楚起見,最好參考需要對每個應用程序進行身份驗證的系統,但使用與目錄伺服器身份驗證相同的目錄伺服器憑據和單個身份驗證通過將身份驗證令牌無縫地傳遞給已配置的應用程序來訪問多個應用程序的系統登錄。
單一登錄,單賬號單ip登錄策略:
用是Cache.Insert(key(用戶名),value(用戶名),時間為(session.Timeout));
if(Cache["key"]==用戶名)
response.write(己經登錄)
一機一號的機制,那麼可以直接綁定用戶首次登錄的IP地址,將用戶的IP地址綁定在資料庫中,每次登錄的時候判斷IP是否正確。如用戶是IP是自動獲取的話,那麼就綁定用戶的硬體串口號。
要做成QQ那種形式的話可以在資料庫中加欄位來表明,帳號是否屬於登錄的狀態。