單點(diǎn)登錄解決方案的架構(gòu)與實(shí)現(xiàn)

1、寶玉xp2011.4單點(diǎn)登錄解決方案的架構(gòu)與單點(diǎn)登錄解決方案的架構(gòu)與實(shí)現(xiàn)實(shí)現(xiàn)單點(diǎn)登錄什么是單點(diǎn)登錄？CLIENT - WEB GTALK - GMAILCLIENT - WEB MSN-HOTMAILWEB - WEB GOOGLE READER - GMAIL單點(diǎn)登錄定義單點(diǎn)登錄SSO（Single Sign-On）是身份管理中的一部分。SSO的一種較為通俗的定義是：SSO是指訪問(wèn)同一服務(wù)器不同應(yīng)用中的受保護(hù)資源的同一用戶，只需要登錄一次，即 通過(guò)一個(gè)應(yīng)用中的安全驗(yàn)證后，再訪問(wèn)其他應(yīng)用中的受保護(hù)資源時(shí)，不再需要重新登錄驗(yàn)證?？蛻舳说卿涍^(guò)程以msn為例分析LIVE MESSENGER登錄過(guò)程h

2、ttps:/ MESSENGER 登錄HOTMAIL傳輸?shù)臄?shù)據(jù)POST https:/ token=ct%3D1302192303%26bver%3D7%26wa%3Dwsignin1.0%26ru%3Dhttp:/ 數(shù)據(jù)ct=1302192303bver=7wa=wsignin1.0 ru=http:/ appid=%7B7108E71A-9926-4FCB-BCC9-9A9D3F32E423%7D da=%3CEncryptedData%20 xmlns%3D%22/2001/04/xmlenc%23%22%20Id%3D%22BinaryDAToken0%

3、22%20Type%3D%22/2001/04/xmlenc%23Element%22%3E%3CEncryptionMethod%20Algorithm%3D%22/2001/04/xmlenc%23tripledes-cbc%22%3E%3C/EncryptionMethod%3E%3Cds:KeyInfo%20 xmlns:ds%3D%22/2000/09/xmldsig%23%22%3E%3Cds:KeyName%3Ehttp:/Passport.NET/STS%3C/ds:KeyName%

4、3E%3C/ds:KeyInfo%3E%3CCipherData%3E%3CCipherValue%3EAdn%2BcqR1gmiTLVQGs8qXIcBFJ0QPGi7O%2BRbRjyoR0F2Iz94dGP8s9qoe3GdGFUt9/qguaX1ygP/ghA%2B7m6eyYgUjKr6ZLQXL3lvi/2%2BAiYeEdRp3dTFqifsjTdc6a0el3rxnayb5yHiP3YbSzknVcqayqszMLnZIIuUxrDVcHGuobAIqCHrWIwiApfYJCjbbnzXNr4GIqbueQkebpn7JU16bkCion1neNxSg58P7XLEqxzAc

5、e3ZUNZWoUDnT/6OtDCkuCmxewrn3sr5Ugh/FSoW%2B3KGledTk3brKOu8Uu7YNM5Y2k4K90Su8U3zXCyhJXkrVJCzRhJCvOCuWUs4DTEs9ocxKUSOICqaicIc6tTJYfyLlWHhOmsigGzVj2B8NOysbsr/V6KnLu2vgEWkYr0j/ZYYrAa1R0AuIep0i0hPHUTeOz7HAV5PzwciNA33YIgzyGn3ivmFFcjkxRwmesidmtXopLUSj%2BYIqUqXQ2p11vmQv9UJYCzWghtNS%3C/CipherValue%3E%3C/Cipher

6、Data%3E%3C/EncryptedData%3Enonce=gGOWyChz45t49%2BfhhBsK5lPq/swIKn%2BZhash=XvO2NYVpeXsR8cCa7TEv4JLzEVw%3D DA http:/Passport.NET/STS Adn+cqR1gmiTLVQGs8qXIcBFJ0QPGi7O+RbRjyoR0F2Iz94dGP8s9qoe3GdGFUt9/qguaX1ygP/ghA+7m6eyYgUjKr6ZLQXL3lvi/2+AiYeEdRp3dTFqifsjTdc6a0el3rxnayb5yHiP3YbSzknVcqayqszMLnZIIuUxrDVcH

7、GuobAIqCHrWIwiApfYJCjbbnzXNr4GIqbueQkebpn7JU16bkCion1neNxSg58P7XLEqxzAce3ZUNZWoUDnT/6OtDCkuCmxewrn3sr5Ugh/FSoW+3KGledTk3brKOu8Uu7YNM5Y2k4K90Su8U3zXCyhJXkrVJCzRhJCvOCuWUs4DTEs9ocxKUSOICqaicIc6tTJYfyLlWHhOmsigGzVj2B8NOysbsr/V6KnLu2vgEWkYr0j/ZYYrAa1R0AuIep0i0hPHUTeOz7HAV5PzwciNA33YIgzyGn3ivmFFcjkxRwmes

8、idmtXopLUSj+YIqUqXQ2p11vmQv9UJYCzWghtNS GTALK打開(kāi)登錄GMAIL傳輸?shù)臄?shù)據(jù)GET https:/ auth=APh-3FxTAOVo71-77U8NQqkkMpJfIzHHi3ClRqCJzSRrft5CWIGKk6Fu5EwlCxmS0sloWRId1x18wCRrhrpA2hwNYyijP4AAu6YwENEFnzYY2nc8jOxmkkEJ0N8qRh9Xze3kr-_GiVVzBxzHOHxK0ZH2vge5JJyM0IEiTH69Hx8XYZ86qYi_-rEKQMlYdLuGE4PJM5pULCi_895SjX2CNU9jyv-6fTSS

9、72nTOzrBDJ0kV9tW05gxNtdBQSvfldctE8GSpiDEds0B8oTuZAbgpnp17SO_MzEKGJ7_kGbAU66ea_Rn2_MVitDjrqIp8rvN_GWrRWfLtOPgFVBmlFqPrrtAKWQbAz9HhyVqv4NptuY0LH_BkI4Db82Ws3I3g-k3JGrRIG3wiw5yyt8t7zw0-OGU4yJkr1citxw4h30cIRybVTmX3WIaW1c_J-fUpwmwFcVCQ47V09w-bdf3jgSH6TY_czbKn-ziqrqE6tbeACdw3BNLKRJ8y7-01Tbu4EOOYufKxiG-Z1ON

10、FXG8uh8pkldJDQQ1XLX3RvgS3kOJsKk-Rk-0TtMtW-crBelq83XM3x2NMTUWguRWkkrdPP18V7x97Ez_UeMaETUP2cWau0 xzhKo9yL1Lws,service=mail continue=https%3A%2F%2F%2Fmail source=googletalk關(guān)鍵數(shù)據(jù)登錄網(wǎng)站地址(Login Portal Url)https:/ Url)ru=http:/ Id)appid=%7B7108E71A-9926-4FCB-BCC9-9A9D3F32E423%7Dsource=googletalk授權(quán)憑證(Credenti

11、al)數(shù)據(jù)如何保護(hù)？如何來(lái)保護(hù)授權(quán)憑證中的信息數(shù)據(jù)加密可逆加密 or 不可逆加密？可逆加密算法DES, Triple-DES, AES, 公共密鑰 or 各應(yīng)用獨(dú)立密鑰？密鑰每個(gè)應(yīng)用系統(tǒng)擁有一個(gè)唯一的AppId和一個(gè)與其對(duì)應(yīng)的Credential密鑰。不同的應(yīng)用系統(tǒng)使用不同的Credential密鑰，目的是防止截取或偽造單點(diǎn)登錄系統(tǒng)的Credential，并防止兩個(gè)SSO應(yīng)用系統(tǒng)之間互相截取或偽造對(duì)方的Credential。密鑰管理如何管理SSO應(yīng)用的密鑰？密鑰管理SSO Key Server 統(tǒng)一登記和管理根據(jù)AppId區(qū)分應(yīng)用系統(tǒng)SSO應(yīng)用系統(tǒng)向SSO Service獲取屬于自己的密鑰密鑰

12、有一定時(shí)效性，會(huì)過(guò)期授權(quán)憑證信息授權(quán)憑證里面都有什么？授權(quán)憑證(CREDENTIAL)SSO應(yīng)用系統(tǒng)登錄時(shí)，SSO Portal會(huì)驗(yàn)證用戶身份，并向應(yīng)用返回一個(gè)代表用戶身份的CredentialCredential一般以BASE64字符串的形式存在Credential中包含的加密信息, SSO應(yīng)用系統(tǒng)均擁有Credential密鑰，可解開(kāi)該Credential以獲取用戶的身份信息。Credential具有一定的有效期。Credential包含的信息包括：加密信息：用戶ID、用戶名、Credential生成時(shí)間、Credential失效時(shí)間未加密信息：對(duì)應(yīng)密鑰編號(hào)、AppId授權(quán)憑證的結(jié)構(gòu)Cre

13、dential一般采用明文結(jié)構(gòu)內(nèi)含密文結(jié)構(gòu)的形式。明文部分對(duì)應(yīng)密鑰編號(hào)為保證在密鑰更換期間，舊密鑰加密的Credential能被正常解密，所以我們需要在Credential中標(biāo)記出Credential對(duì)應(yīng)的密鑰號(hào)碼AppId，對(duì)應(yīng)App密文部分保存加密后的用戶信息，客戶端不可讀。服務(wù)器端解密后可從密文中獲取用戶的身份標(biāo)識(shí)。授權(quán)憑證屬性名屬性名說(shuō)明說(shuō)明KeyId憑證生成時(shí)使用的密鑰的標(biāo)識(shí)，服務(wù)器端與客戶端憑證生成時(shí)使用的密鑰的標(biāo)識(shí)，服務(wù)器端與客戶端均可讀，但對(duì)客戶端透明。均可讀，但對(duì)客戶端透明。例如例如：0：0號(hào)密鑰號(hào)密鑰1：1號(hào)密鑰號(hào)密鑰2：2號(hào)密鑰號(hào)密鑰AppId每個(gè)每個(gè)SSO應(yīng)用系統(tǒng)申請(qǐng)的

14、編號(hào)，唯一代表一個(gè)應(yīng)用系統(tǒng)申請(qǐng)的編號(hào)，唯一代表一個(gè)SSO應(yīng)應(yīng)用系統(tǒng)。用系統(tǒng)。EncryptedData加密后的用戶信息，客戶端不可讀。服務(wù)器端解密加密后的用戶信息，客戶端不可讀。服務(wù)器端解密后可從明文中獲取用戶的身份標(biāo)識(shí)。后可從明文中獲取用戶的身份標(biāo)識(shí)。ENCRYPTEDDATA解密屬性名屬性名說(shuō)明說(shuō)明Nonce隨機(jī)整數(shù)隨機(jī)整數(shù)CreateTime憑證生成時(shí)間憑證生成時(shí)間ExpireTime憑證過(guò)期時(shí)間憑證過(guò)期時(shí)間UserId用戶用戶IdUserIp用戶登錄用戶登錄IPUsername/Email用戶名用戶名或或EmailHashSHA1計(jì)算的散列值計(jì)算的散列值，防止數(shù)據(jù)被修改，防止數(shù)據(jù)被修改

15、授權(quán)憑證的驗(yàn)證和解析如何驗(yàn)證一個(gè)授權(quán)憑證是否合法？取出里面的信息？ 兩種授權(quán)憑證驗(yàn)證解析方案對(duì)比從SSO服務(wù)器驗(yàn)證應(yīng)用自行驗(yàn)證CredentialApp ServerSSO Key ServerCredentialApp ServerSSO Server授權(quán)憑證的驗(yàn)證流程校驗(yàn)AppId根據(jù)密鑰編號(hào)對(duì)應(yīng)密鑰解密數(shù)據(jù)校驗(yàn)Hash值校驗(yàn)IP校驗(yàn)授權(quán)憑證是否到期更新授權(quán)憑證客戶端單點(diǎn)登錄客戶端單點(diǎn)登錄流程？客戶端SSOPortal1. 提交賬號(hào)密碼登錄2. 返回客戶端授權(quán)憑證3. 保持登錄帶上舊憑證4. 返回客戶端新的授權(quán)憑證客戶端瀏覽器應(yīng)用站點(diǎn)1SSOPortal5. 點(diǎn)擊站點(diǎn)鏈接6. 訪問(wèn)頁(yè)面使用客戶端憑證7. 302跳轉(zhuǎn)帶上返回地址8. 請(qǐng)求SSO網(wǎng)頁(yè)帶上返回地址9. 302跳轉(zhuǎn)設(shè)置SSO Portal Cookie，Url中帶上Site 1憑證10. 訪問(wèn)頁(yè)面Url帶憑證11. 200 OK設(shè)置憑證到Cookie不同站點(diǎn)間的單點(diǎn)登錄多個(gè)站點(diǎn)之間如何共享登錄？用戶瀏覽器應(yīng)用站點(diǎn)1SSO站點(diǎn)1. 瀏覽網(wǎng)站12. 訪問(wèn)頁(yè)面3. 302跳轉(zhuǎn)帶上返回地址4. 請(qǐng)求登錄網(wǎng)頁(yè)帶上返回地址5. 200 OK登錄表單6. 輸入賬號(hào)密碼7. 提交表單帶上返回地址8. 302跳轉(zhuǎn)設(shè)置Cookie，Url中帶上憑證9. 訪問(wèn)頁(yè)面Url帶憑證10. 200 OK設(shè)置憑證到Cookie11. 訪問(wèn)頁(yè)面Co