身份认证技术

单点登录（Single Sign On） 单点登录（SSO）的技术被越来越广泛地运用到各个领域的软件系统当中。本文从业务的角度分析了单点登录的需求和应用领域；从技术本身的角度分析了单点登录技术的内部机制和实现手段，并且给出Web-SSO和桌面SSO的实现、源代码和详细讲解；还从安全和性能的角度对现有的实现技术进行进一步分析，指出相应的风险和需要改进的方面。本文除了从多个方面和角度给出了对单点登录（SSO）的全面分析，还并且讨论了如何将现有的应用和SSO服务结合起来，能够帮助应用架构师和系统分析人员从本质上认识单点登录，从而更好地设计出符合需要的安全架构。 关键字 ：SSO, Java, J2EE, JAAS 1 什么是单点登陆 单点登录（Single Sign On），简称为 SSO，是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。 较大的企业内部，一般都有很多的业务支持系统为其提供相应的管理和IT服 务。例如财务系统为财务人员提供财务的管理、计算和报表服务；人事系统为人事部门提供全公司人员的维护服务；各种业务系统为公司内部不同的业务提供不同的 服务等等。这些系统的目的都是让计算机来进行复杂繁琐的计算工作，来替代人力的手工劳动，提高工作效率和质量。这些不同的系统往往是在不同的时期建设起来 的

java实现简单的单点登录 发表于2年前(2014-05-20 09:11) 阅读（ 6399 ） | 评论（ 0 ） 9 人收藏此文章, 我要收藏 赞 1 摘要 单点登录（SSO）的技术被越来越广泛地运用到各个领域的软件系统当中。本文从业务的角度分析了单点登录的需求和应用领域；从技术本身的角度分析了单点登录技术的内部机制和实现手段，并且给出Web-SSO和桌面SSO的实现、源代码和详细讲解；还从安全和性能的角度对现有的实现技术进行进一步分析，指出相应的风险和需要改进的方面。本文除了从多个方面和角度给出了对单点登录（SSO）的全面分析，还并且讨论了如何将现有的应用和SSO服务结合起来，能够帮助应用架构师和系统分析人员从本质上认识单点登录，从而更好地设计出符合需要的安全架构。 SSO Java J2EE JAAS 1 什么是单点登陆 单点登录（ Single Sign On ），简称为 SSO ，是目前比较流行的企业业务整合的解决方案之一。 SSO 的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。 较大的企业内部，一般都有很多的业务支持系统为其提供相应的管理和 IT 服 务。例如财务系统为财务人员提供财务的管理、计算和报表服务；人事系统为人事部门提供全公司人员的维护服务；各种业务系统为公司内部不同的业务提供不同的 服务等等

摘要 ：单点登录（ SSO ）的技术被越来越广泛地运用到各个领域的软件系统当中。本文从业务的角度分析了单点登录的需求和应用领域；从技术本身的角度分析了单点登录技术的内部机制和实现手段，并且给出 Web-SSO 和桌面 SSO 的实现、源代码和详细讲解；还从安全和性能的角度对现有的实现技术进行进一步分析，指出相应的风险和需要改进的方面。本文除了从多个方面和角度给出了对单点登录（ SSO ）的全面分析，还并且讨论了如何将现有的应用和 SSO 服务结合起来，能够帮助应用架构师和系统分析人员从本质上认识单点登录，从而更好地设计出符合需要的安全架构。 关键字 ： SSO, Java, J2EE, JAAS 1 什么是单点登陆 单点登录（ Single Sign On ），简称为 SSO ，是目前比较流行的企业业务整合的解决方案之一。 SSO 的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。 较大的企业内部，一般都有很多的业务支持系统为其提供相应的管理和 IT 服 务。例如财务系统为财务人员提供财务的管理、计算和报表服务；人事系统为人事部门提供全公司人员的维护服务；各种业务系统为公司内部不同的业务提供不同的 服务等等。这些系统的目的都是让计算机来进行复杂繁琐的计算工作，来替代人力的手工劳动，提高工作效率和质量。这些不同的系统往往是在不同的时期建设起来 的

身份认证技术 1、常用的身份认证方法 （1）静态口令认证的问题：静态口令，即由用户自己设置或者系统给定的一串静态数据作为口令。静态口令一旦设定之后，除非用户更改，否则将保持不变。这种方法存在严重的安全问题。 基于口令认证的安全性仅仅基于用户口令的保密性，如果用户口令较短且容易猜测，那么这种方案就容易遭受口令猜测攻击。 如果口令在通信线路上明文传输，系统攻击者就能够通过窃听方法获取用户口令。 由于系统需要保存用户名和口令，这一方面要求系统管理员是可信赖的，另一方面，一旦攻击者能够访问口令库，整个系统的安全性就受到了威胁，如果口令库中保存明文的口令，那么攻击者就能够直接获取用户口令；如果保存的是经过密码变换后的口令，例如保存口令的 HASH 值，攻击者也可以采用离线方式对口令密文实施字典攻击或穷举攻击，从而获得合法用户的口令。 静态口令对重放攻击也毫无抵抗能力。 （2）一次性口令认证：一次性口令认证技术通常是基于密码技术来实现，通过在认证过程中加入不确定因子、认证数据传输过程加密等方式，使用户每次进行身份认证的认证口令都不同，而且每个认证口令只使用一次，攻击者即使获得了某次登录的认证口令也无法在下一次成功登录到系统，因为攻击者获得的登录口令已经失效。为了产生一次性的动态口令，一般采用双运算因子的计算方式，也就是加密算法的输入包括两个数值，一个是用户密钥，通常是代表用户身份的识别码

函数计算在身份认证云中的应用场景 Authing 用来做用户验证，函数计算用来处理具体的逻辑，非常完美的搭配。 身份认证场景 越来越多的企业接受身份认证上云后，Authing 也承接了越来越多「用户迁移」需求 ，在用户迁移的过程中，最重要的一点是「终端用户必须无感知」，而无感知主要有以下两点要求： 用户不需要修改密码； 完成切换后，用户的所有数据都能正常访问且具备相应的访问权限； 在一个用户系统中，用户的密码通常情况下都会加密存储在数据库中，这个加密算法一般是不可逆的，同时可以由一个函数完成，因此将函数计算应用在身份认证云中就能满足第一个要求。 函数计算 首先我们看一下什么是函数计算： 通过函数计算，**您无需管理服务器等基础设施，只需编写代码并上传。**函数计算会为您准备好计算资源，以弹性、可靠的方式运行您的代码，并提供日志查询、性能监控、报警等功能。借助于函数计算，您可以快速构建任何类型的应用和服务，无需管理和运维。而且，您只需要为代码实际运行所消耗的资源付费，代码未运行则不产生费用。 阿里云 - 函数计算 简单来说，函数计算让程序员不需要再管理服务器，只需要上传代码，后台的云就可以帮你自动按需分配资源，这将极大释放程序员的生产力。 解决方案 函数计算非常适合解决身份认证云中自定义密码加密的问题，以下是应用了函数计算后，用户注册的流程图： 以下是用户登录的流程图：