欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久

企業(yè)的信息化過(guò)程是一個(gè)循序漸進(jìn)的過(guò)程，在企業(yè)各個(gè)業(yè)務(wù)網(wǎng)站逐步建設的過(guò)程中，根據各種業(yè)務(wù)信息水平的需要構建了相應的應用系統，由于這些應用系統一般是在不同的時(shí)期開(kāi)發(fā)完成的，各應用系統由于功能側重、設計方法和開(kāi)發(fā)技術(shù)都有所不同，也就形成了各自獨立的用戶(hù)庫和用戶(hù)認證體系。隨著(zhù)新的業(yè)務(wù)網(wǎng)站不斷的增加，用戶(hù)在每個(gè)應用系統中都有獨立的賬號，這樣就造成在訪(fǎng)問(wèn)不同的應用系統時(shí)，需要記錄對應的用戶(hù)名和密碼，多個(gè)用戶(hù)名密碼極易記混，如果忘記或記錯了某一個(gè)業(yè)務(wù)網(wǎng)站的用戶(hù)名或密碼就無(wú)法進(jìn)行登錄，耽誤工作，影響工作效率，隨著(zhù)局內信息化進(jìn)程的推進(jìn)還會(huì )有新的應用系統產(chǎn)生，如果不引入單一用戶(hù)登錄的解決方案，全公司工作人名特別是承擔審批權限的各級領(lǐng)導很難記清各類(lèi)應用系統的用戶(hù)名和密碼，嚴重影響由信息化帶來(lái)快捷性和高效性。此外，多個(gè)應用平臺就有多個(gè)用戶(hù)管理，這也為系統管理員維護人員系統帶來(lái)巨大的工作量，例如，一次變更10個(gè)人員，即使只有5個(gè)應用系統，也需要重復維護50個(gè)人員信息，而企業(yè)的每次人員調整遠不至10人，這種幾何增長(cháng)的維護工作量，會(huì )浪費大量的精力和時(shí)間，減弱了信息化系統帶來(lái)方便快捷，為此，需建立一套統一的、完善的、科學(xué)的單點(diǎn)登錄系統，每個(gè)用戶(hù)只需記錄一個(gè)用戶(hù)名密碼，登錄一個(gè)平臺后即可實(shí)現各應用系統的透明跳轉，而且實(shí)行統一的用戶(hù)信息管理系統，系統管理員只需維護一套人員信息，更改信息通過(guò)平臺接口同步更新至各個(gè)應用系統，實(shí)現人員系統單次維護全公司同步變更，大大提高工作效率。

新的應用系統在不斷開(kāi)發(fā)，早一天規劃設計出單點(diǎn)登錄的規范接口，就可以為新開(kāi)發(fā)的系統提出的一種整合的標準，在開(kāi)發(fā)初期無(wú)論哪個(gè)開(kāi)發(fā)商，無(wú)論采用哪種技術(shù)開(kāi)發(fā)，只要遵循單點(diǎn)登錄的規范標準，新的系統開(kāi)發(fā)完成之后即可無(wú)縫整合的到單點(diǎn)登錄平臺中，從而減少了系統開(kāi)發(fā)完成后再整合到單點(diǎn)登錄改動(dòng)而造成資源的浪費。

從信息共享角度看現有的各個(gè)業(yè)務(wù)系統都使用各自的數據存儲方式，不經(jīng)過(guò)基礎的用戶(hù)名和密碼認證后，相互之間無(wú)法傳遞有效信息。為避免信息孤島的產(chǎn)生，因此需要建立一個(gè)連接各個(gè)業(yè)務(wù)系統的技術(shù)架構和標準，實(shí)現平臺統一化整合；通過(guò)對業(yè)務(wù)處理和異常處理實(shí)現監管透明；通過(guò)將業(yè)務(wù)流程從應用中抽離，實(shí)現業(yè)務(wù)流程的靈活安排，這樣就需要一套可以整合現有各個(gè)業(yè)務(wù)網(wǎng)站的信息共享平臺。

單點(diǎn)登錄的英文名稱(chēng)為Single Sign-On，簡(jiǎn)寫(xiě)為SSO，它是一個(gè)用戶(hù)認證的過(guò)程，允許用戶(hù)一次性進(jìn)行認證之后，就訪(fǎng)問(wèn)系統中不同的應用；而不需要訪(fǎng)問(wèn)每個(gè)應用時(shí)，都重新輸入密碼。IBM對SSO有一個(gè)形象的解釋“單點(diǎn)登錄、全網(wǎng)漫游”。

SSO將一個(gè)企業(yè)內部所有域中的用戶(hù)登錄和用戶(hù)賬號管理集中到一起，SSO的好處顯而易見(jiàn)：

• 減少用戶(hù)在不同系統中登錄耗費的時(shí)間，減少用戶(hù)登錄出錯的可能性
• 實(shí)現安全的同時(shí)避免了處理和保存多套系統用戶(hù)的認證信息
• 減少了系統管理員增加、刪除用戶(hù)和修改用戶(hù)權限的時(shí)間
• 增加了安全性：系統管理員有了更好的方法管理用戶(hù)，包括可以通過(guò)直接禁止和刪除用戶(hù)來(lái)取消該用戶(hù)對所有系統資源的訪(fǎng)問(wèn)權限

對于內部有多種應用系統的企業(yè)來(lái)說(shuō)，單點(diǎn)登錄的效果是十分明顯的。很多國際上的企業(yè)已經(jīng)將單點(diǎn)登錄作為系統設計的基本功能之一。

公司第一個(gè)版本的單點(diǎn)登陸系統從2005年運行以來(lái)，從幾十個(gè)應用系統擴展到現在的幾百個(gè)系統。在應用的過(guò)程中沒(méi)有很好的解決跨域名的問(wèn)題，單點(diǎn)登陸客戶(hù)端代碼使用問(wèn)題，應用系統的訪(fǎng)問(wèn)規則問(wèn)題等都沒(méi)有很好的解決。

SSO的實(shí)現機制不盡相同，大體分為Cookie機制和Session機制兩大類(lèi)。

• WebLogic通過(guò)Session共享認證信息。Session是一種服務(wù)器端機制，當客戶(hù)端訪(fǎng)問(wèn)服務(wù)器時(shí)，服務(wù)器為客戶(hù)端創(chuàng )建一個(gè)惟一的SessionID，以使在整個(gè)交互過(guò)程中始終保持狀態(tài)，而交互的信息則可由應用自行指定，因此用Session方式實(shí)現SSO，不能在多個(gè)瀏覽器之間實(shí)現單點(diǎn)登錄，但卻可以跨域。
• WebSphere通過(guò)Cookie記錄認證信息。Cookie是一種客戶(hù)端機制，它存儲的內容主要包括: 名字、值、過(guò)期時(shí)間、路徑和域，路徑與域合在一起就構成了Cookie的作用范圍，因此用Cookie方式可實(shí)現SSO，但域名必須相同。

目前大部分SSO產(chǎn)品采用的是Cookie機制，公司第一個(gè)版本的單點(diǎn)登陸系統也是如此，目前能夠找到的最好的開(kāi)源單點(diǎn)登錄產(chǎn)品CAS也是采用Cookie機制。 CAS http://www.ja-sig.org/products/cas/，CAS單點(diǎn)登錄系統最早由耶魯大學(xué)開(kāi)發(fā)。2004年12月，CAS成為JA-SIG中的一個(gè)項目。JA-SIG的全稱(chēng)是Java Architectures Special Interest Group，是在高校中推廣和探討基于Java的開(kāi)源技術(shù)的一個(gè)組織。CAS的優(yōu)點(diǎn)很多，例如設計理念先進(jìn)、體系結構合理、配置簡(jiǎn)單、客戶(hù)端支持廣泛、技術(shù)成熟等等。這也是我們這次SSO改造的參照產(chǎn)品。

以CAS為例，使用Cookie實(shí)現單點(diǎn)登錄的原理圖如圖1所示。

• 首先，單點(diǎn)登錄分為“服務(wù)端”和“客戶(hù)端”。服務(wù)端就是單點(diǎn)登錄服務(wù)器，而客戶(hù)端通常是“函數庫”或者“插件”。需要使用單點(diǎn)登錄的應用程序，需要把客戶(hù)端插件安裝到自己的系統中，或者將客戶(hù)端函數庫包括在代碼中。單點(diǎn)登錄的客戶(hù)端通常替換了原來(lái)應用程序的認證部分的代碼。
• 某個(gè)應用程序首先要發(fā)起第1次認證。大部分情況下，應用程序中嵌入的客戶(hù)端會(huì )把應用程序原來(lái)的登錄畫(huà)面屏蔽掉，而直接轉到單點(diǎn)登錄服務(wù)器的登錄頁(yè)面。

圖 1 使用Cookie實(shí)現單點(diǎn)登錄的原理圖

• 用戶(hù)在單點(diǎn)登錄服務(wù)器的登錄頁(yè)面中，輸入用戶(hù)名和密碼。
• 然后單點(diǎn)登錄服務(wù)器會(huì )對用戶(hù)名和密碼進(jìn)行認證。認證本身并不是單點(diǎn)登錄服務(wù)器的功能，因此，通常會(huì )引入某種認證機制。認證機制可以有很多種，例如自己寫(xiě)一個(gè)認證程序，或者使用一些標準的認證方法，例如LDAP或者數據庫等等。在大多數情況下，會(huì )使用LDAP進(jìn)行認證。這是因為L(cháng)DAP在處理用戶(hù)登錄方面，有很多獨特的優(yōu)勢，這在本文的后面還會(huì )比較詳細地進(jìn)行介紹。
• 認證通過(guò)之后，單點(diǎn)登錄服務(wù)器會(huì )和應用程序進(jìn)行一個(gè)比較復雜的交互，這通常是某種授權機制。CAS使用的是所謂的Ticket。具體這點(diǎn)后面還會(huì )介紹。
• 授權完成后，CAS把頁(yè)面重定向，回到Web應用。Web應用此時(shí)就完成了成功的登錄（當然這也是單點(diǎn)登錄的客戶(hù)端，根據返回的Ticket信息進(jìn)行判斷成功的）。
• 然后單點(diǎn)登錄服務(wù)器會(huì )在客戶(hù)端創(chuàng )建一個(gè)Cookie。注意，是在用戶(hù)的客戶(hù)端，而不是服務(wù)端創(chuàng )建一個(gè)Cookie。這個(gè)Cookie是一個(gè)加密的Cookie，其中保存了用戶(hù)登錄的信息。
• 如果用戶(hù)此時(shí)希望進(jìn)入其他Web應用程序，則安裝在這些應用程序中的單點(diǎn)登錄客戶(hù)端，首先仍然會(huì )重定向到CAS服務(wù)器。不過(guò)此時(shí)CAS服務(wù)器不再要求用戶(hù)輸入用戶(hù)名和密碼，而是首先自動(dòng)尋找Cookie，根據Cookie中保存的信息，進(jìn)行登錄。登錄之后，CAS重定向回到用戶(hù)的應用程序。

這樣，就不再需要用戶(hù)繼續輸入用戶(hù)名和密碼，從而實(shí)現了單點(diǎn)登錄。

注意，這種單點(diǎn)登錄體系中，并沒(méi)有通過(guò)http進(jìn)行密碼的傳遞（但是有用戶(hù)名的傳遞），因此是十分安全的。

CAS被設計為一個(gè)獨立的Web應用，目前是通過(guò)若干個(gè)Java servlets來(lái)實(shí)現的。CAS必須運行在支持SSL的web服務(wù)器至上。應用程序可以通過(guò)三個(gè)URL路徑來(lái)使用CAS，分別是登錄URL（login URL），校驗URL（validation URL）和登出URL（logout URL）。

• 應用程序一開(kāi)始，通常跳過(guò)原來(lái)的登陸界面，而直接轉向CAS自帶的登錄界面。當然也可以在應用程序的主界面上增加一個(gè)登錄之類(lèi)的按鈕，來(lái)完成跳轉工作。
• 如果用戶(hù)喜歡的話(huà)，也可以手工直接進(jìn)入CAS的登錄界面，先進(jìn)行登錄，在啟動(dòng)其他的應用程序。不過(guò)這種模式主要用于測試環(huán)境。
• CAS的登錄界面處理所謂的“主體認證”。它要求用戶(hù)輸入用戶(hù)名和密碼，就像普通的登錄界面一樣。
• 主體認證時(shí)，CAS獲取用戶(hù)名和密碼，然后通過(guò)某種認證機制進(jìn)行認證。通常認證機制是LDAP。
• 為了進(jìn)行以后的單點(diǎn)登錄，CAS向瀏覽器送回一個(gè)所謂的“內存cookie”。這種cookie并不是真的保存在內存中，而只是瀏覽器一關(guān)閉，cookie就自動(dòng)過(guò)期。這個(gè)cookie稱(chēng)為“ticket-granting cookie”，用來(lái)表明用戶(hù)已經(jīng)成功地登錄。
• 認證成功后，CAS服務(wù)器創(chuàng )建一個(gè)很長(cháng)的、隨機生成的字符串，稱(chēng)為“Ticket”。隨后，CAS將這個(gè)ticket和成功登錄的用戶(hù)，以及服務(wù)聯(lián)系在一起。這個(gè)ticket是一次性使用的一種憑證，它只對登錄成功的用戶(hù)及其服務(wù)使用一次。使用過(guò)以后立刻失效。
• 主體認證完成后，CAS將用戶(hù)的瀏覽器重定向，回到原來(lái)的應用。CAS客戶(hù)端，在從應用轉向CAS的時(shí)候，同時(shí)也會(huì )記錄原始的URL，因此CAS知道誰(shuí)在調用自己。CAS重定向的時(shí)候，將ticket作為一個(gè)參數傳遞回去。
• 例如原始應用的網(wǎng)址是http://www.itil.com/，在這個(gè)網(wǎng)址上，一開(kāi)始有如下語(yǔ)句，轉向CAS服務(wù)器的單點(diǎn)登錄頁(yè)面https://secure.oa.com/cas/login?service=http://www.itil.com/auth.aspx。
• CAS完成主體認證后，會(huì )使用下面URL進(jìn)行重定向http://www.itil.com/authenticate.aspx?ticket= ST-2-7FahVdQ0rYdQxHFBIkKgfYCrcoSHRTsFZ2w-20。
• 收到ticket之后，應用程序需要驗證ticket。這是通過(guò)將ticket 傳遞給一個(gè)校驗URL來(lái)實(shí)現的。校驗URL也是CAS服務(wù)器提供的。
• CAS通過(guò)校驗路徑獲得了ticket之后，通過(guò)內部的數據庫對其進(jìn)行判斷。如果判斷是有效性，則返回一個(gè)NetID給應用程序。
• 隨后CAS將ticket作廢，并且在客戶(hù)端留下一個(gè)cookie。
• 以后其他應用程序就使用這個(gè)cookie進(jìn)行認證（當然通過(guò)CAS的客戶(hù)端），而不再需要輸入用戶(hù)名和密碼。

采用.NET 來(lái)實(shí)現CAS原理的SSO系統，在第一個(gè)版本的SSO系統基礎上羅列一些問(wèn)題，有的已經(jīng)是第一個(gè)版本的SSO系統中采用的方式。有些問(wèn)題需要澄清的，

很多人談?wù)搯吸c(diǎn)登錄時(shí)，常常和統一用戶(hù)，以及單一用戶(hù)管理混淆了，要么誤認為單點(diǎn)登錄自然實(shí)現了單一用戶(hù)管理；要么誤認為統一用戶(hù)或者單一用戶(hù)管理就是單點(diǎn)登錄。實(shí)際上，這三個(gè)概念是有明確的區別的。

統一用戶(hù)就是指不同的系統，使用同一套用戶(hù)處理的機制。

• 用戶(hù)ID全局惟一，用戶(hù)登錄名，密碼全局唯一，并且統一存儲在單一系統中。
• 用戶(hù)的一些屬性，如姓名、電話(huà)、地址、郵件等，統一存儲在單一系統中。盡管各應用系統還可以自行增加一些屬性，但是基本的屬性應該統一存儲和管理。
• 應用系統不應該直接對用戶(hù)信息的進(jìn)行增加、修改和刪除，但是可以進(jìn)行查詢(xún)。對用戶(hù)信息的增加、修改和刪除，應該由專(zhuān)門(mén)的系統進(jìn)行統一的管理。

很顯然，統一用戶(hù)是單點(diǎn)登錄的基礎，但是統一用戶(hù)并不意味著(zhù)實(shí)現了單點(diǎn)登錄。

單一用戶(hù)管理則指所有的用戶(hù)管理工作都在唯一的地方進(jìn)行處理，而每個(gè)應用程序不再保留自己的用戶(hù)管理功能。單一用戶(hù)管理和統一用戶(hù)管理的最大區別在于，統一用戶(hù)管理之后，每個(gè)應用程序仍然保留自己的用戶(hù)管理功能，用于額外的屬性設置；而單一用戶(hù)管理時(shí)，每個(gè)應用程序不再保留自己的用戶(hù)管理功能。

在企業(yè)應用場(chǎng)景下，所有的用戶(hù)信息來(lái)自HR系統，HR系統中包含的戶(hù)信息和部門(mén)信息，同時(shí)這些信息會(huì )存在于公司的活動(dòng)目錄中。公司采用的是LDAP和數據庫連接方式相結合,正式員工登陸OA系統并不采用LDAP方式認證，采用的RSA的token方式認證，也就是數據庫方式認證。對于忘記帶token卡和客戶(hù)服務(wù)部的外聘人員沒(méi)有token卡的，通過(guò)白名單方式允許他們通過(guò)LDAP方式認證。第一個(gè)版本的單點(diǎn)登陸系統使用的HTTP，新版本的集成子系統使用https方式通訊。

術(shù)語(yǔ)解釋?zhuān)?/strong>

• HTTPS（全稱(chēng)：Hypertext Transfer Protocol over Secure Socket Layer），是以安全為目標的HTTP通道，簡(jiǎn)單講是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎是SSL，因此加密的詳細內容請看SSL。它是一個(gè)URI scheme（抽象標識符體系），句法類(lèi)同http:體系。用于安全的HTTP數據傳輸。https:URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默認端口及一個(gè)加密/身份驗證層（在HTTP與TCP之間）。這個(gè)系統的最初研發(fā)由網(wǎng)景公司進(jìn)行，提供了身份驗證與加密通訊方法，現在它被廣泛用于萬(wàn)維網(wǎng)上安全敏感的通訊。
• LDAP（全稱(chēng)是Lightweight Directory Access Protocol），一般都簡(jiǎn)稱(chēng)為L(cháng)DAP。它是基于X.500標準的，但是簡(jiǎn)單多了并且可以根據需要定制。與X.500不同，LDAP支持TCP/IP，這對訪(fǎng)問(wèn)Internet是必須的。LDAP的核心規范在RFC中都有定義，所有與LDAP相關(guān)的RFC都可以在LDAPman RFC網(wǎng)頁(yè)中找到。

簡(jiǎn)單說(shuō)來(lái)，LDAP是一個(gè)得到關(guān)于人或者資源的集中、靜態(tài)數據的快速方式。LDAP協(xié)議是跨平臺的和標準的協(xié)議，因此應用程序就不用為L(cháng)DAP目錄放在什么樣的服務(wù)器上操心了。實(shí)際上，LDAP得到了業(yè)界的廣泛認可，因為它是Internet的標準。產(chǎn)商都很愿意在產(chǎn)品中加入對LDAP的支持，因為他們根本不用考慮另一端（客戶(hù)端或服務(wù)端）是怎么樣的。LDAP服務(wù)器可以是任何一個(gè)開(kāi)發(fā)源代碼或商用的LDAP目錄服務(wù)器（或者還可能是具有LDAP界面的關(guān)系型數據庫），因為可以用同樣的協(xié)議、客戶(hù)端連接軟件包和查詢(xún)命令與LDAP服務(wù)器進(jìn)行交互