單點登錄解決方案的架構(gòu)與實現(xiàn)ppt課件.ppt_第1頁
單點登錄解決方案的架構(gòu)與實現(xiàn)ppt課件.ppt_第2頁
單點登錄解決方案的架構(gòu)與實現(xiàn)ppt課件.ppt_第3頁
單點登錄解決方案的架構(gòu)與實現(xiàn)ppt課件.ppt_第4頁
單點登錄解決方案的架構(gòu)與實現(xiàn)ppt課件.ppt_第5頁
已閱讀5頁,還剩30頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、寶玉xp 2011.4,單點登錄解決方案的架構(gòu)與實現(xiàn),1,單點登錄,什么是單點登錄?,2,Client - Web Gtalk - Gmail,3,Client - Web msn-HOTMAIL,4,Web - Web Google Reader - Gmail,5,單點登錄定義,單點登錄SSO(Single Sign-On)是身份管理中的一部分。SSO的一種較為通俗的定義是:SSO是指訪問同一服務(wù)器不同應(yīng)用中的受保護資源的同一用戶,只需要登錄一次,即 通過一個應(yīng)用中的安全驗證后,再訪問其他應(yīng)用中的受保護資源時,不再需要重新登錄驗證。,6,客戶端登錄過程,以msn為例分析,7,Live Me

2、ssenger登錄過程,8,Live Messenger 登錄Hotmail傳輸?shù)臄?shù)據(jù),POST token=ct%3D1302192303%26bver%3D7%26wa%3Dwsignin1.0%26ru%3D,9,Token 數(shù)據(jù),ct=1302192303 bver=7 wa=wsignin1.0 ru= pl=MBI appid=%7B7108E71A-9926-4FCB-BCC9-9A9D3F32E423%7D da=%3CEncryptedData%20 xmlns%3D%22/2001/04/xmlenc%23%22%20Id%3D%22Bina

3、ryDAToken0%22%20Type%3D%22/2001/04/xmlenc%23Element%22%3E%3CEncryptionMethod%20Algorithm%3D%22/2001/04/xmlenc%23tripledes-cbc%22%3E%3C/EncryptionMethod%3E%3Cds:KeyInfo%20 xmlns:ds%3D%22/2000/09/xmldsig%23%22%3E%3Cds:KeyName%3Ehttp:/Passport.NET/STS%3C/

4、ds:KeyName%3E%3C/ds:KeyInfo%3E%3CCipherData%3E%3CCipherValue%3EAdn%2BcqR1gmiTLVQGs8qXIcBFJ0QPGi7O%2BRbRjyoR0F2Iz94dGP8s9qoe3GdGFUt9/qguaX1ygP/ghA%2B7m6eyYgUjKr6ZLQXL3lvi/2%2BAiYeEdRp3dTFqifsjTdc6a0el3rxnayb5yHiP3YbSzknVcqayqszMLnZIIuUxrDVcHGuobAIqCHrWIwiApfYJCjbbnzXNr4GIqbueQkebpn7JU16bkCion1neNxSg5

5、8P7XLEqxzAce3ZUNZWoUDnT/6OtDCkuCmxewrn3sr5Ugh/FSoW%2B3KGledTk3brKOu8Uu7YNM5Y2k4K90Su8U3zXCyhJXkrVJCzRhJCvOCuWUs4DTEs9ocxKUSOICqaicIc6tTJYfyLlWHhOmsigGzVj2B8NOysbsr/V6KnLu2vgEWkYr0j/ZYYrAa1R0AuIep0i0hPHUTeOz7HAV5PzwciNA33YIgzyGn3ivmFFcjkxRwmesidmtXopLUSj%2BYIqUqXQ2p11vmQv9UJYCzWghtNS%3C/CipherValue%3

6、E%3C/CipherData%3E%3C/EncryptedData%3E nonce=gGOWyChz45t49%2BfhhBsK5lPq/swIKn%2BZ hash=XvO2NYVpeXsR8cCa7TEv4JLzEVw%3D,10,da, http:/Passport.NET/STS Adn+cqR1gmiTLVQGs8qXIcBFJ0QPGi7O+RbRjyoR0F2Iz94dGP8s9qoe3GdGFUt9/qguaX1ygP/ghA+7m6eyYgUjKr6ZLQXL3lvi/2+AiYeEdRp3dTFqifsjTdc6a0el3rxnayb5yHiP3YbSzknVcqay

7、qszMLnZIIuUxrDVcHGuobAIqCHrWIwiApfYJCjbbnzXNr4GIqbueQkebpn7JU16bkCion1neNxSg58P7XLEqxzAce3ZUNZWoUDnT/6OtDCkuCmxewrn3sr5Ugh/FSoW+3KGledTk3brKOu8Uu7YNM5Y2k4K90Su8U3zXCyhJXkrVJCzRhJCvOCuWUs4DTEs9ocxKUSOICqaicIc6tTJYfyLlWHhOmsigGzVj2B8NOysbsr/V6KnLu2vgEWkYr0j/ZYYrAa1R0AuIep0i0hPHUTeOz7HAV5PzwciNA33YIgzy

8、Gn3ivmFFcjkxRwmesidmtXopLUSj+YIqUqXQ2p11vmQv9UJYCzWghtNS ,11,GTalk打開登錄Gmail傳輸?shù)臄?shù)據(jù),GET auth=APh-3FxTAOVo71-77U8NQqkkMpJfIzHHi3ClRqCJzSRrft5CWIGKk6Fu5EwlCxmS0sloWRId1x18wCRrhrpA2hwNYyijP4AAu6YwENEFnzYY2nc8jOxmkkEJ0N8qRh9Xze3kr-_GiVVzBxzHOHxK0ZH2vge5JJyM0IEiTH69Hx8XYZ86qYi_-rEKQMlYdLuGE4PJM5pULCi_895SjX

9、2CNU9jyv-6fTSS72nTOzrBDJ0kV9tW05gxNtdBQSvfldctE8GSpiDEds0B8oTuZAbgpnp17SO_MzEKGJ7_kGbAU66ea_Rn2_MVitDjrqIp8rvN_GWrRWfLtOPgFVBmlFqPrrtAKWQbAz9HhyVqv4NptuY0LH_BkI4Db82Ws3I3g-k3JGrRIG3wiw5yyt8t7zw0-OGU4yJkr1citxw4h30cIRybVTmX3WIaW1c_J-fUpwmwFcVCQ47V09w-bdf3jgSH6TY_czbKn-ziqrqE6tbeACdw3BNLKRJ8y7-01Tbu4E

10、OOYufKxiG-Z1ONFXG8uh8pkldJDQQ1XLX3RvgS3kOJsKk-Rk-0TtMtW-crBelq83XM3x2NMTUWguRWkkrdPP18V7x97Ez_UeMaETUP2cWau0 xzhKo9yL1Lws, service=mail continue=https%3A%2F%2F%2Fmail source=googletalk,12,關(guān)鍵數(shù)據(jù),登錄網(wǎng)站地址(Login Portal Url) 返回地址(Return Url) ru= continue=https%3A%2F%2F%2Fmail 應(yīng)用Id(App Id) appid=%7B7108E71A

11、-9926-4FCB-BCC9-9A9D3F32E423%7D source=googletalk 授權(quán)憑證(Credential),13,數(shù)據(jù)如何保護?,如何來保護授權(quán)憑證中的信息,14,數(shù)據(jù)加密,可逆加密 or 不可逆加密? 可逆加密算法 DES, Triple-DES, AES, 公共密鑰 or 各應(yīng)用獨立密鑰? 密鑰 每個應(yīng)用系統(tǒng)擁有一個唯一的AppId和一個與其對應(yīng)的Credential密鑰。 不同的應(yīng)用系統(tǒng)使用不同的Credential密鑰,目的是防止截取或偽造單點登錄系統(tǒng)的Credential,并防止兩個SSO應(yīng)用系統(tǒng)之間互相截取或偽造對方的Credential。,15,密鑰管理

12、,如何管理SSO應(yīng)用的密鑰?,16,密鑰管理,SSO Key Server 統(tǒng)一登記和管理 根據(jù)AppId區(qū)分應(yīng)用系統(tǒng) SSO應(yīng)用系統(tǒng)向SSO Service獲取屬于自己的密鑰 密鑰有一定時效性,會過期,17,授權(quán)憑證信息,授權(quán)憑證里面都有什么?,18,授權(quán)憑證(Credential),SSO應(yīng)用系統(tǒng)登錄時,SSO Portal會驗證用戶身份,并向應(yīng)用返回一個代表用戶身份的Credential Credential一般以BASE64字符串的形式存在 Credential中包含的加密信息, SSO應(yīng)用系統(tǒng)均擁有Credential密鑰,可解開該Credential以獲取用戶的身份信息。 Cred

13、ential具有一定的有效期。 Credential包含的信息包括: 加密信息:用戶ID、用戶名、Credential生成時間、Credential失效時間 未加密信息:對應(yīng)密鑰編號、AppId,19,授權(quán)憑證的結(jié)構(gòu),Credential一般采用明文結(jié)構(gòu)內(nèi)含密文結(jié)構(gòu)的形式。 明文部分 對應(yīng)密鑰編號為保證在密鑰更換期間,舊密鑰加密的Credential能被正常解密,所以我們需要在Credential中標記出Credential對應(yīng)的密鑰號碼 AppId,對應(yīng)App 密文部分 保存加密后的用戶信息,客戶端不可讀。 服務(wù)器端解密后可從密文中獲取用戶的身份標識。,20,授權(quán)憑證,21,Encrypte

14、dData解密,22,授權(quán)憑證的驗證和解析,如何驗證一個授權(quán)憑證是否合法?取出里面的信息?,23,兩種授權(quán)憑證驗證解析方案對比,從SSO服務(wù)器驗證,應(yīng)用自行驗證,Credential,App Server,SSO Key Server,Credential,App Server,SSO Server,24,授權(quán)憑證的驗證流程,25,客戶端單點登錄,客戶端單點登錄流程?,26,客戶端,SSO Portal,1. 提交賬號密碼登錄,2. 返回客戶端授權(quán)憑證,3. 保持登錄帶上舊憑證,4. 返回客戶端新的授權(quán)憑證,27,客戶端,瀏覽器,應(yīng)用站點1,SSO Portal,5. 點擊站點鏈接,6. 訪問

15、頁面使用客戶端憑證,7. 302跳轉(zhuǎn)帶上返回地址,8. 請求SSO網(wǎng)頁帶上返回地址,9. 302跳轉(zhuǎn)設(shè)置SSO Portal Cookie,Url中帶上Site 1憑證,10. 訪問頁面Url帶憑證,11. 200 OK設(shè)置憑證到Cookie,28,不同站點間的單點登錄,多個站點之間如何共享登錄?,29,用戶,瀏覽器,應(yīng)用站點1,SSO站點,1. 瀏覽網(wǎng)站1,2. 訪問頁面,3. 302跳轉(zhuǎn)帶上返回地址,4. 請求登錄網(wǎng)頁帶上返回地址,5. 200 OK登錄表單,6. 輸入賬號密碼,7. 提交表單帶上返回地址,8. 302跳轉(zhuǎn)設(shè)置Cookie,Url中帶上憑證,9. 訪問頁面Url帶憑證,10. 200 OK設(shè)置憑證到Cookie,11. 訪問頁面Cookie帶憑證,12. 200 OK,30,用戶,瀏覽器,應(yīng)用站點2,SSO站點,13. 瀏覽網(wǎng)站2,14

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論