我们正在跨多个应用程序实施单点登录 [SSO],这些应用程序托管在不同的域和不同的服务器上。
现在如图所示,我们正在引入一个 Authenticate Server,它实际上与 LDAP 交互并对用户进行身份验证。将用于/与 Authenticate Server 对话的应用程序托管在不同的服务器和域中。
对于 SSO,我不能使用会话变量,因为有不同的服务器和不同的应用程序、不同的域,域级别的 cookie/会话变量没有帮助。
我正在寻找一个更好的解决方案,可以跨它们用于 SSO。是否存在任何已证明的实施?如果是这样,请发布它或为我指出正确的方向。
您可以通过在身份验证服务器上进行所有登录来实现此目的。其他应用程序可以通过反向通道与身份验证服务器通信。一般原则是这样的:
现在这是 SSO 位的用武之地:
这种方法有一些现有的实现,例如CAS(中央身份验证服务)。请注意, Spring Security开箱即用地支持 CAS 。我建议您考虑使用现有的实现,因为编写自己的实现会很困难。我在回答中简化了一些事情,如果您不熟悉这个问题,那么很有可能会引入安全漏洞。
我会建议您查看 OAuth。它是一个很好的身份验证和授权协议,被包括 facebook、google、windows live 等几个大型组织使用。它可能有一个初始学习曲线,但它是一个生产级解决方案。
它还拥有 Java、Ruby、PHP 和一系列其他编程语言的库。
例如,以下服务器端实现可用于 Java。
以下客户端 Java 库也可用:
请参阅此处了解更多详情:
更大的问题是您如何实现单点登录。许多值得一提的开源甚至专有(IBM Tivoli)产品都提供跨域单点登录功能。这将是实现跨域 sso 的最简单和最好的方法。您可以配置在您选择的 sso 服务器中使用的 LDAP 服务器。
以open sso为例,这里有一篇配置跨域单点登录的文章 http://docs.oracle.com/cd/E19681-01/820-5816/aeabl/index.html
要在开放 sso 中配置 LDAP, http: //docs.oracle.com/cd/E19316-01/820-3886/ghtmw/index.html
此处以简洁的图表形式提供了有关该问题的参考 http://docs.oracle.com/cd/E19575-01/820-3746/gipjl/index.html
根据您使用的产品,您可以配置跨域单点登录。
有了这个,您的图表将如下所示,身份验证服务器是您与您选择的 sso 服务器交互的实用程序。
拥有一个与 sso 通信的身份验证服务器是一个合理的架构原则。我建议调用身份验证作为 REst 端点,可以通过 http 从不同的应用程序调用。
您不能使用 Rest Service 。
您可以使用我所说的引用 URL 身份验证
假设您有一个身份验证应用程序在 www.AAAA.com 上运行在您要进行身份验证的应用程序中,you could have a filter which looks for a authenticated cookie in its domain else redirect to www.AAAA.com for authentication
开Successfull authentication,你可以pass the user profile information as encrypted GET / POST data back to the application
由于我已经构建了一个 Java 应用程序,因此我一直在为它寻找 SSO 解决方案。我找到了一个免费的 Java SAML 连接器,您可以使用它在使用任何 Java 框架构建的基于 Java 的应用程序中实现 SSO。
这是它的链接 - https://plugins.miniorange.com/java-single-sign-on-sso-connector