单点登录

一、商城项目 1.密码加密存储有什么比较好的解决办法？ 可逆加密与不可逆加密存储分别有什么优缺点？对称加密和非对称加密有什么区别？ 密码一般都采用不可逆加密算法进行存储，较好的解决办法是 MD5 （SHA）+salt。 https://blog.csdn.net/weixin_38035852/article/details/81667160 2. 在什么情况下会导致横向越权问题 ？ 横向越权与纵向越权有什么区别，都有什么好的解决办法 ？ aop解决 。 3.单点登录是怎么实现的？为什么要做单点登录？单点登陆是为了解决什么问题？ （1） 共享cookie 。同级域名可相互访问。（不建议） （2） 认证中心 。 CAS （Central Authentication Service）。 因为扩展成集群后，session无法共享，所以考虑单点登录。 为了解决cookie无法跨域共享的问题。 4. 层级树怎么进行递归查询 ？ 5. ngnix怎么配置成集群形式 ？ ngnix有什么作用 ？ 怎么做负载均衡 ？ 6. 正向代理和反向代理分别是什么意思 ？ 7.在什么场景下会用到集合类？ 8. hibernate与mybatis有什么区别 ？ 9. springmvc与struts有什么区别 ？ 10. spring的AOP和IOC特性 。 11. spring有哪些注解及其作用 ？ 12.

cookie是什么 cookie的英文意思是饼干。在计算机术语中指服务端存放在客户端的一段数据。这段数据在客户端每次进行http请求时会自动加在http请求报文中的header上；服务端在响应时，可以对cookie进行设置，并将cookie加入到http响应报文header中。 MDN 中对cookie的解释为：cookie 是一个请求首部，其中含有先前由服务器通过 Set-Cookie 首部投放并存储到客户端的 HTTP cookies。 cookie一般存放在对应的域名下，各个浏览器对中一个域名下存放的cookie的个数与大小规定不一样。下表是不同浏览器对cookie存放的规定： 浏览器 chrome Safari Firefox ie 个数 53 无限制 50 50 大小 4097字节 4097字节 4097字节 4095字节 超额处理 剔除最老的cookie 剔除最老的cookie 随机消除除最新的其他cookie 剔除最老的cookie 所有浏览器都支持cookie功能，我们可以直接在浏览器中移除cookie与禁用cookie存储。chrome中的设置为：设置-高级-隐私设置和安全性-内容设置-cookie。 如果我们在创建cookie时没有设置过期时间，即没有设置expires或者max-age值，则该cookie只存在与会话中，此时，cookie存储在浏览器的内存中

分享多场景下的单点登录实战应用解决方案 【学完本节课你将掌握以下知识】 1. 单点登录在不同场景下的应用以及SSO； 2. 单机、集群部署，Cookie和分布式Session单点登录； 3. 解决方案实战：cas , oauth2 , jwt (客户端token) SpringSecurity，Shiro； 4. 主流 spring-security + oauth2 和 shiro + cas 实现单点登录； 5. 纯手写单点登录+单点登出实现开发； 6. CAS解析，配置https , 1、单点登录原理、Http通信实现 2、sso登录中心、淘宝、天猫实现单点登录 3、单点登出手写实现及CAS 演示 来源： CSDN 作者： icodingedu 链接： https://blog.csdn.net/icodingedu/article/details/104011378

单点登录（Single Sign On） 单点登录（SSO）的技术被越来越广泛地运用到各个领域的软件系统当中。本文从业务的角度分析了单点登录的需求和应用领域；从技术本身的角度分析了单点登录技术的内部机制和实现手段，并且给出Web-SSO和桌面SSO的实现、源代码和详细讲解；还从安全和性能的角度对现有的实现技术进行进一步分析，指出相应的风险和需要改进的方面。本文除了从多个方面和角度给出了对单点登录（SSO）的全面分析，还并且讨论了如何将现有的应用和SSO服务结合起来，能够帮助应用架构师和系统分析人员从本质上认识单点登录，从而更好地设计出符合需要的安全架构。 关键字 ：SSO, Java, J2EE, JAAS 1 什么是单点登陆 单点登录（Single Sign On），简称为 SSO，是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。 较大的企业内部，一般都有很多的业务支持系统为其提供相应的管理和IT服 务。例如财务系统为财务人员提供财务的管理、计算和报表服务；人事系统为人事部门提供全公司人员的维护服务；各种业务系统为公司内部不同的业务提供不同的 服务等等。这些系统的目的都是让计算机来进行复杂繁琐的计算工作，来替代人力的手工劳动，提高工作效率和质量。这些不同的系统往往是在不同的时期建设起来 的

一个帐号所有系统通用. 一个系统用帐号登录后,其他进入系统不需要再进行任何登录操作,自动登入其他系统. 来源： https://www.cnblogs.com/max-hou/p/12161879.html

一.单点登录介绍 单点登录（Single Sign On），简称为 SSO，是比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。 二.技术实现机制 当用户第一次访问应用系统的时候，因为还没有登录，会被引导到认证系统中进行登录；根据用户提供的登录信息，认证系统进行身份校验，如果通过校验，应该返回给用户一个认证的凭据－－ticket；用户再访问别的应用的时候，就会将这个ticket带上，作为自己认证的凭据，应用系统接受到请求之后会把ticket送到认证系统进行校验，检查ticket的合法性。如果通过校验，用户就可以在不用再次登录的情况下访问应用系统2和应用系统3了。 要实现SSO，需要以下主要的功能： 1.所有应用系统共享一个身份认证系统。 　　统一的认证系统是SSO的前提之一。认证系统的主要功能是将用户的登录信息和用户信息库相比较，对用户进行登录认证；认证成功后，认证系统应该生成统一的认证标志（ticket），返还给用户。另外，认证系统还应该对ticket进行效验，判断其有效性。 　　 2.所有应用系统能够识别和提取ticket信息。 　　要实现SSO的功能，让用户只登录一次，就必须让应用系统能够识别已经登录过的用户。应用系统应该能对ticket进行识别和提取，通过与认证系统的通讯，能自动判断当前用户是否登录过

在开始之前先介绍一下CAS 官网地址： https://www.apereo.org/ Github地址: https://github.com/apereo/cas 介绍 CAS是Central Authentication Service的缩写， 中央认证服务 ，一种独立开放指令协议。CAS 是 Yale 大学发起的一个开源项目，旨在为 Web 应用系统提供一种可靠的单点登录方法。 特点 开源的企业级单点登录解决方案。 CAS Server 为需要独立部署的 Web 应用。 CAS Client 支持非常多的客户端(这里指单点登录系统中的各个 Web 应用)，包括 Java, .Net, PHP, Perl, Apache, uPortal, Ruby 等。 CAS属于Apache 2.0许可证，允许代码修改，再发布（作为开源或商业软件）。 原理与协议 用户每次发请请求，CAS Client 会分析请求中是否包含service ticket 如果没有重定向到指定好的CAS Server登录地址，并传递service(也就是访问的目的资源地址，方便登录成功后转回该地址) 用户输入认证信息，成功后CAS Server随机生成一个相当长度，唯一，不可伪造的service ticket，并缓存以待将来验证，重定向到service地址 为客户端设置一个TGC（Ticket Granted

本文以某新闻单位多媒体数据库系统为例，提出建立企业用户认证中心，实现基于安全策略的统一用户管理、认证和单点登录，解决用户在同时使用多个应用系统时所遇到的重复登录问题。 随着信息技术和网络技术的迅猛发展，企业内部的应用系统越来越多。比如在媒体行业，常见的应用系统就有采编系统、排版系统、印刷系统、广告管理系统、财务系统、办公自动化系统、决策支持系统、客户关系管理系统和网站发布系统等。由于这些系统互相独立，用户在使用每个应用系统之前都必须按照相应的系统身份进行登录，为此用户必须记住每一个系统的用户名和密码，这给用户带来了不少麻烦。特别是随着系统的增多，出错的可能性就会增加，受到非法截获和破坏的可能性也会增大，安全性就会相应降低。针对于这种情况，统一用户认证、单点登录等概念应运而生，同时不断地被应用到企业应用系统中。 统一用户管理的基本原理 一般来说，每个应用系统都拥有独立的用户信息管理功能，用户信息的格式、命名与存储方式也多种多样。当用户需要使用多个应用系统时就会带来用户信息同步问题。用户信息同步会增加系统的复杂性，增加管理的成本。 例如，用户X需要同时使用A系统与B系统，就必须在A系统与B系统中都创建用户X，这样在A、B任一系统中用户X的信息更改后就必须同步至另一系统。如果用户X需要同时使用10个应用系统，用户信息在任何一个系统中做出更改后就必须同步至其他9个系统

http://www.josso.org/confluence/display/JOSSO1/JOSSO+-+Java+Open+Single+Sign-On+Project+Home 1 概述 随着企业应用系统的迅速发展和完善，规模变得越来越大，用户如果要登录多个应用系统，不仅要面对多个登录界面，可能还要记忆不同的用户名和口令。每个应用系统都有各自的账号管理系统，互不信任。系统管理员不得不维护多个系统中的用户信息，数据的一致性很难保证。随着用户登录系统的增多，出错的可能性就会增加，受到非法截获和破坏的可能性也会增大，安全性就会降低。 为了满足企业不断增长的用户对不断增加的业务系统的访问需求，减少用户的账号管理工作，避免重复登陆，实现一个账号多个系统同时登录的统一单点登录迫在眉睫！ 单点登录（Single Sign On），简称为 SSO，是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。 1.1 传统独立系统带来的问题 每个单独的系统都会有自己的安全体系和身份认证系统。整合以前，进入每个系统都需要进行登录，这样的局面不仅给管理上带来了很大的困难，在安全方面也埋下了重大的隐患。 1.2 统一认证和单点登录平台的优势 l 简化用户的账号、密码管理，避免了多个业务系统和功能模块的重复登录。 l 安全性好

最近学习CAS单点登录，所以在网上找了两张比较清晰的原理图以供参考： 【CAS浏览器请求认证序列图】 其中： * ST：Service Ticket，用于客户端应用持有，每个ST对应一个用户在一个客户端上 * TGT：Ticket Granting Ticket，存储在CAS服务器端和用户cookie两个地方 【CAS服务器端登陆流程图】 3.1.1. parameters 下面的 HTTP 请求的参数可通过 /login ，这时它作为凭证索取者。他们都是区分大小写的，他们都必须处理 /login 。 · service[ 可选 ] - 客户端尝试访问的应用的标识符。在几乎所有情况下，这将是应用的 URL 。请注意，作为一个 HTTP 请求的参数，此 URL 的值必须是符合 RFC 中 URL 编码的描述。（详情参见 RFC 1738 [ 4 ] 的第 2.2 节）。如果没有指定 service 并且单点登录 session 尚不存在， CAS 应要求具有凭证的用户发起一个单点登录 session 。如果没有指定 service 但单点登录 session 已经存在， CAS 应显示一条消息，通知客户，这是已经登录 · Renew[ 可选 ] - 如果此参数设置，单点登录将被绕过。在这种情况下， CAS 将要求客户提交证书，不论是否存在一个 CAS 的单点登录 session