摘要:如果一旦加密算法泄露了,攻擊者可以在本地建立一個實現(xiàn)了登錄接口的假冒父應(yīng)用,通過綁定來把子應(yīng)用發(fā)起的請求指向本地的假冒父應(yīng)用,并作出回應(yīng)。
原文鏈接:BlueSun | 單點登錄的三種實現(xiàn)方式
單點登錄SSO(Single Sign On)說得簡單點就是在一個多系統(tǒng)共存的環(huán)境下,用戶在一處登錄后,就不用在其他系統(tǒng)中登錄,也就是用戶的一次登錄能得到其他所有系統(tǒng)的信任。單點登錄在大型網(wǎng)站里使用得非常頻繁,例如像阿里巴巴這樣的網(wǎng)站,在網(wǎng)站的背后是成百上千的子系統(tǒng),用戶一次操作或交易可能涉及到幾十個子系統(tǒng)的協(xié)作,如果每個子系統(tǒng)都需要用戶認證,不僅用戶會瘋掉,各子系統(tǒng)也會為這種重復(fù)認證授權(quán)的邏輯搞瘋掉。實現(xiàn)單點登錄說到底就是要解決如何產(chǎn)生和存儲那個信任,再就是其他系統(tǒng)如何驗證這個信任的有效性,因此要點也就以下兩個:
存儲信任
驗證信任
如果一個系統(tǒng)做到了開頭所講的效果,也就算單點登錄,單點登錄有不同的實現(xiàn)方式,本文就羅列我開發(fā)中所遇見過的實現(xiàn)方式。
以Cookie作為憑證媒介最簡單的單點登錄實現(xiàn)方式,是使用cookie作為媒介,存放用戶憑證。
用戶登錄父應(yīng)用之后,應(yīng)用返回一個加密的cookie,當(dāng)用戶訪問子應(yīng)用的時候,攜帶上這個cookie,授權(quán)應(yīng)用解密cookie并進行校驗,校驗通過則登錄當(dāng)前用戶。
不難發(fā)現(xiàn)以上方式把信任存儲在客戶端的Cookie中,這種方式很容易令人質(zhì)疑:
Cookie不安全
不能跨域?qū)崿F(xiàn)免登
對于第一個問題,通過加密Cookie可以保證安全性,當(dāng)然這是在源代碼不泄露的前提下。如果Cookie的加密算法泄露,攻擊者通過偽造Cookie則可以偽造特定用戶身份,這是很危險的。
對于第二個問題,更是硬傷。
對于跨域問題,可以使用JSONP實現(xiàn)。
用戶在父應(yīng)用中登錄后,跟Session匹配的Cookie會存到客戶端中,當(dāng)用戶需要登錄子應(yīng)用的時候,授權(quán)應(yīng)用訪問父應(yīng)用提供的JSONP接口,并在請求中帶上父應(yīng)用域名下的Cookie,父應(yīng)用接收到請求,驗證用戶的登錄狀態(tài),返回加密的信息,子應(yīng)用通過解析返回來的加密信息來驗證用戶,如果通過驗證則登錄用戶。
這種方式雖然能解決跨域問題,但是安全性其實跟把信任存儲到Cookie是差不多的。如果一旦加密算法泄露了,攻擊者可以在本地建立一個實現(xiàn)了登錄接口的假冒父應(yīng)用,通過綁定Host來把子應(yīng)用發(fā)起的請求指向本地的假冒父應(yīng)用,并作出回應(yīng)。
因為攻擊者完全可以按照加密算法來偽造響應(yīng)請求,子應(yīng)用接收到這個響應(yīng)之后一樣可以通過驗證,并且登錄特定用戶。
最后一種介紹的方式,是通過父應(yīng)用和子應(yīng)用來回重定向中進行通信,實現(xiàn)信息的安全傳遞。
父應(yīng)用提供一個GET方式的登錄接口,用戶通過子應(yīng)用重定向連接的方式訪問這個接口,如果用戶還沒有登錄,則返回一個的登錄頁面,用戶輸入賬號密碼進行登錄。如果用戶已經(jīng)登錄了,則生成加密的Token,并且重定向到子應(yīng)用提供的驗證Token的接口,通過解密和校驗之后,子應(yīng)用登錄當(dāng)前用戶。
這種方式較前面兩種方式,接解決了上面兩種方法暴露出來的安全性問題和跨域的問題,但是并沒有前面兩種方式方便。
安全與方便,本來就是一對矛盾。
一般說來,大型應(yīng)用會把授權(quán)的邏輯與用戶信息的相關(guān)邏輯獨立成一個應(yīng)用,稱為用戶中心。
用戶中心不處理業(yè)務(wù)邏輯,只是處理用戶信息的管理以及授權(quán)給第三方應(yīng)用。第三方應(yīng)用需要登錄的時候,則把用戶的登錄請求轉(zhuǎn)發(fā)給用戶中心進行處理,用戶處理完畢返回憑證,第三方應(yīng)用驗證憑證,通過后就登錄用戶。
如果本文對您有用
請不要吝嗇你們的Follow與Start
這會大大支持我們繼續(xù)創(chuàng)作
「Github」
MZMonster :@MZMonster
JC_Huang :@JerryC8080
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://specialneedsforspecialkids.com/yun/11735.html
摘要:原文鏈接消息系統(tǒng)設(shè)計與實現(xiàn)上篇由于文章篇幅較長,而作者精力有限,不希望這么早就精盡人亡,故分成上下篇來寫消息系統(tǒng)的設(shè)計與實現(xiàn)。更新于關(guān)聯(lián)文章消息系統(tǒng)設(shè)計與實現(xiàn)下篇如果本文對您有用請不要吝嗇你們的與這會大大支持我們繼續(xù)創(chuàng)作 原文鏈接:Bluesun | 消息系統(tǒng)設(shè)計與實現(xiàn)「上篇」 由于文章篇幅較長,而作者精力有限,不希望這么早就精盡人亡,故分成上下篇來寫消息系統(tǒng)的設(shè)計與實現(xiàn)。上篇主要講...
摘要:全稱單點登錄用于實現(xiàn)多系統(tǒng)的登錄認證說白了就是只要一個賬號就可以訪問阿里旗下支付寶淘寶天貓等網(wǎng)站站在企業(yè)的角度這樣做有一個好處只要有一個系統(tǒng)負責(zé)登錄模塊其他的子系統(tǒng)就可以專注于自己系統(tǒng)的業(yè)務(wù)邏輯需要的時候請求認證系統(tǒng)就可以站在用戶的角度好處 SSO全稱Single Sign On,單點登錄.用于實現(xiàn)多系統(tǒng)的登錄認證.說白了就是只要一個賬號就可以訪問阿里旗下支付寶,淘寶, 天貓等網(wǎng)站.站...
摘要:本米撲博客先介紹幾個最簡單的發(fā)送郵件方式記錄下,像郵件,附件等也是支持的,需要時查文檔即可。特別注意命令發(fā)送郵件,默認用端口號,由于阿里云騰訊云等封禁了端口號,因此本示例需在開通端口機器上測試執(zhí)行命令收件結(jié)果 Python發(fā)送email的三種方式,分別為使用登錄郵件服務(wù)器、使用smtp服務(wù)、調(diào)用sendmail命令來發(fā)送三種方法 本文原文自米撲博客:Python 發(fā)送 email 的三...
閱讀 2469·2021-11-17 09:33
閱讀 757·2021-11-04 16:13
閱讀 1328·2021-10-14 09:50
閱讀 691·2019-08-30 15:53
閱讀 3657·2019-08-30 14:18
閱讀 3267·2019-08-30 14:14
閱讀 2092·2019-08-30 12:46
閱讀 3177·2019-08-26 14:05