女人下边被添全过视频,一二三四在线观看免费播放电影,美女露出奶头扒开尿口让男人桶,宅男噜噜噜66网站高清,日产精品一卡2卡三卡四卡区别

IT之道-艾銻知道

您當前位置: 主頁 > IT服務 > 服務器服務 >

單點登陸原理及實現(xiàn)


2020-02-06 16:09 作者:admin 瀏覽量:
 
        這次的肺炎疫情對中國的中小企業(yè)將會是沉重的打擊,據(jù)釘釘和微信兩個辦公平臺數(shù)據(jù)統(tǒng)計現(xiàn)有2億左右的人在家遠程辦公,那么對于中小企業(yè)的員工來說不懂IT技術將會讓他們面臨的最大挑戰(zhàn)和困難。
 
        電腦不亮了怎么辦?系統(tǒng)藍屏如何處理?辦公室的電腦在家如何連接?網(wǎng)絡應該如何設置?VPN如何搭建?數(shù)據(jù)如何對接?服務器如何登錄?數(shù)據(jù)安全如何保證?數(shù)據(jù)如何存儲?視頻會議如何搭建?業(yè)務系統(tǒng)如何開啟等等一系列的問題,都會困擾著并非技術出身的您。
 
 
        好消息是當您看到這篇文章的時候,就不用再為上述的問題而苦惱,您只需撥打艾銻無限的全國免費熱線電話:400 650 7820,就會有我們的遠程工程師為您解決遇到的問題,他們可以遠程幫您處理遇到的一些IT技術難題。
 
       如遇到免費熱線占線,您還可以撥打我們的24小時值班經(jīng)理電話:15601064618或技術經(jīng)理的電話:13041036957,我們會在第一時間接聽您的來電,為您提供適合的解決方案,讓您無論在家還是在企業(yè)都能無憂辦公。
 
那艾銻無限具體能為您的企業(yè)提供哪些服務呢?
       艾銻無限始創(chuàng)于2005年,歷經(jīng)15年服務了5000多家中小企業(yè)并保障了幾十萬臺設備的正常運轉,積累了豐富的企業(yè)IT緊急問題和特殊故障的解決經(jīng)驗,制定了相對應的解決方案。我們?yōu)槟钠髽I(yè)提供的IT服務分為三大版塊:
 
        第一版塊是保障性IT外包服務:如電腦設備運維,辦公設備運維,網(wǎng)絡設備運維,服務器運維等綜合性企業(yè)IT設備運維服務。
 
        第二版塊是功能性互聯(lián)網(wǎng)外包服務:如網(wǎng)站開發(fā)外包,小程序開發(fā)外包,APP開發(fā)外包,電商平臺開發(fā)外包,業(yè)務系統(tǒng)的開發(fā)外包和后期的運維外包服務。
 
        第三版塊是增值性云服務外包:如企業(yè)郵箱上云,企業(yè)網(wǎng)站上云,企業(yè)存儲上云,企業(yè)APP小程序上云,企業(yè)業(yè)務系統(tǒng)上云,阿里云產(chǎn)品等后續(xù)的云運維外包服務。
 
        您要了解更多服務也可以登錄艾銻無限的官網(wǎng):www.bjitwx.com查看詳細說明,在疫情期間,您企業(yè)遇到的任何困境只要找到艾銻無限,能免費為您提供服務的我們絕不收一分錢,我們?nèi)w艾銻人承諾此活動直到中國疫情結束,我們將這次活動稱為——春雷行動。
 
       以下還有我們?yōu)槟峁┑囊恍┘夹g資訊,以便可以幫助您更好的了解相關的IT知識,幫您渡過疫情中辦公遇到的困難和挑戰(zhàn),艾銻無限愿和中國中小企業(yè)一起共進退,因為我們相信萬物同體,能量合一,只要我們一起齊心協(xié)力,一定會成功。再一次祝福您和您的企業(yè),戰(zhàn)勝疫情,您和您的企業(yè)一定行。
北京艾銻無限告訴您:單點登陸原理及實現(xiàn)
 
單點登錄(Single Sign On),簡稱為 SSO,是比較流行的企業(yè)業(yè)務整合的解決方案之一。SSO的定義是在多個應用系統(tǒng)中,用戶只需要登錄一次就可以訪問所有相互信任的應用系統(tǒng)。

很早期的公司,一家公司可能只有一個Server,慢慢的Server開始變多了。每個Server都要進行注冊登錄,退出的時候又要一個個退出。用戶體驗很不好!你可以想象一下,上豆瓣 要登錄豆瓣FM、豆瓣讀書、豆瓣電影、豆瓣日記......真的會讓人崩潰的。我們想要另一種登錄體驗:一家企業(yè)下的服務只要一次注冊,登錄的時候只要一次登錄,退出的時候只要一次退出。怎么做?

一次注冊。 一次注冊不難,想一下是不是只要Server之間同步用戶信息就行了?可以,但這樣描述不太完整,后續(xù)講用戶注冊的時候詳細說。實際上用戶信息的管理才是SSO真正的難點,只是作為初學者,我們的難點在于實現(xiàn)SSO的技術!我們先討論實現(xiàn)手段。

一次登錄與一次退出。 回頭看看普通商場的故事,什么東西才是保持登錄狀態(tài)關鍵的東西?記錄器(session)?那種叫做cookie的紙張?寫在紙張上的ID? 是session里面記錄的信息跟那個ID,cookie不只是記錄ID的工具而已??蛻舳顺钟蠭D,服務端持有session,兩者一起用來保持登錄狀態(tài)??蛻舳诵枰肐D來作為憑證,而服務端需要用session來驗證ID的有效性(ID可能過期、可能根本就是偽造的找不到對應的信息、ID下對應的客戶端還沒有進行登錄驗證等)。但是session這東西一開始是每個server自己獨有的,豆瓣FM有自己的session、豆瓣讀書有自己的session,而記錄ID的cookie又是不能跨域的。所以,我們要實現(xiàn)一次登錄一次退出,只需要想辦法讓各個server的共用一個session的信息,讓客戶端在各個域名下都能持有這個ID就好了。再進一步講,只要各個server拿到同一個ID,都能有辦法檢驗出ID的有效性、并且能得到ID對應的用戶信息就行了,也就是能檢驗ID
 

最簡單的單點登錄實現(xiàn)方式,是使用cookie作為媒介,存放用戶憑證。

用戶登錄父應用之后,應用返回一個加密的cookie,當用戶訪問子應用的時候,攜帶上這個cookie,授權應用解密cookie并進行校驗,校驗通過則登錄當前用戶。

不難發(fā)現(xiàn)以上方式把信任存儲在客戶端的Cookie中,這種方式很容易令人質(zhì)疑:

Cookie不安全

不能跨域實現(xiàn)免登

對于第一個問題,通過加密Cookie可以保證安全性,當然這是在源代碼不泄露的前提下。如果Cookie的加密算法泄露,攻擊者通過偽造Cookie則可以偽造特定用戶身份,這是很危險的。

對于第二個問題,更是硬傷。

對于跨域問題,可以使用JSONP實現(xiàn)。 

用戶在父應用中登錄后,跟Session匹配的Cookie會存到客戶端中,當用戶需要登錄子應用的時候,授權應用訪問父應用提供的JSONP接口,并在請求中帶上父應用域名下的Cookie,父應用接收到請求,驗證用戶的登錄狀態(tài),返回加密的信息,子應用通過解析返回來的加密信息來驗證用戶,如果通過驗證則登錄用戶。

 
這種方式雖然能解決跨域問題,但是安全性其實跟把信任存儲到Cookie是差不多的。如果一旦加密算法泄露了,攻擊者可以在本地建立一個實現(xiàn)了登錄接口的假冒父應用,通過綁定Host來把子應用發(fā)起的請求指向本地的假冒父應用,并作出回應。 

因為攻擊者完全可以按照加密算法來偽造響應請求,子應用接收到這個響應之后一樣可以通過驗證,并且登錄特定用戶。

最后一種介紹的方式,是通過父應用和子應用來回重定向中進行通信,實現(xiàn)信息的安全傳遞。 

父應用提供一個GET方式的登錄接口,用戶通過子應用重定向連接的方式訪問這個接口,如果用戶還沒有登錄,則返回一個的登錄頁面,用戶輸入賬號密碼進行登錄。如果用戶已經(jīng)登錄了,則生成加密的Token,并且重定向到子應用提供的驗證Token的接口,通過解密和校驗之后,子應用登錄當前用戶。
這種方式較前面兩種方式,接解決了上面兩種方法暴露出來的安全性問題和跨域的問題,但是并沒有前面兩種方式方便。 

安全與方便,本來就是一對矛盾。

使用獨立登錄系統(tǒng) 

一般說來,大型應用會把授權的邏輯與用戶信息的相關邏輯獨立成一個應用,稱為用戶中心。 

用戶中心不處理業(yè)務邏輯,只是處理用戶信息的管理以及授權給第三方應用。第三方應用需要登錄的時候,則把用戶的登錄請求轉發(fā)給用戶中心進行處理,用戶處理完畢返回憑證,第三方應用驗證憑證,通過后就登錄用戶。

相關文章

IT外包服務
二維碼 關閉