67,513
社区成员
发帖
与我相关
我的任务
分享关于桌面应用到Web应用的单点登录,用尽所有可用分
有没有做过这个课题的高手,分享分享经验
或者大家讨论讨论如何安全地实现.
QQ,google是如何做的?
或者大家讨论讨论如何安全地实现.
QQ,google是如何做的?
...全文
请发表友善的回复…
发表回复
ollim 2011-08-17
- 打赏
- 举报
我说的是 openssl 中的颁发证书 以及自签证书
基于https的传输 解决的是传输中 数据被截获
例如sniffer等
认证和传输加密是两回事
pki只是这些中的一个技术
基于https的传输 解决的是传输中 数据被截获
例如sniffer等
认证和传输加密是两回事
pki只是这些中的一个技术
pywepe 2011-08-17
- 打赏
- 举报
[Quote=引用 11 楼 ollim 的回复:]
我说的是 openssl 中的颁发证书 以及自签证书
基于https的传输 解决的是传输中 数据被截获
例如sniffer等
认证和传输加密是两回事
pki只是这些中的一个技术
[/Quote]
传输是要用ssl的
我说的是 openssl 中的颁发证书 以及自签证书
基于https的传输 解决的是传输中 数据被截获
例如sniffer等
认证和传输加密是两回事
pki只是这些中的一个技术
[/Quote]
传输是要用ssl的
guoyang842 2011-08-17
- 打赏
- 举报
哇,楼上难道是tomcat的忠实fans?
一洽客服系统 2011-08-17
- 打赏
- 举报
不想用令牌登录的话 简单点提交到服务器一个加密链接 如果服务器解析符合要求则身份认证通过
ollim 2011-08-16
- 打赏
- 举报
[Quote=引用 8 楼 pywepe 的回复:]
引用 5 楼 ollim 的回复:
cas的帖子很多,但是解决不了你的问题,你从qq点击空间
仔细观察浏览器的链接字符串你就会得到答案
qq做的比较好的 处了id 还有一个编号
ADSESSION这个编号是你当前实现单点登录的超时时间 一般比较短
这样假设你这个链接字符串 被别人获取 过几分钟再用,他会判断你这次的登录是否还有效
这是一种常见的 解决 sso 字符串被获取……
[/Quote]
失效时间是服务器计算的,传的标示只是一个主键随机数
其实说简单了就是 这个连接字符串 只能在2分钟以内使用
在次使用则失效,所以就算被得到他不当时使用就没有用了
连接字符串 不可能带着时间的 时间是服务器设定好的
另外关于传输安全的问题你可以详细参考 openssl
如果无从看起 先从cas 学习
引用 5 楼 ollim 的回复:
cas的帖子很多,但是解决不了你的问题,你从qq点击空间
仔细观察浏览器的链接字符串你就会得到答案
qq做的比较好的 处了id 还有一个编号
ADSESSION这个编号是你当前实现单点登录的超时时间 一般比较短
这样假设你这个链接字符串 被别人获取 过几分钟再用,他会判断你这次的登录是否还有效
这是一种常见的 解决 sso 字符串被获取……
[/Quote]
失效时间是服务器计算的,传的标示只是一个主键随机数
其实说简单了就是 这个连接字符串 只能在2分钟以内使用
在次使用则失效,所以就算被得到他不当时使用就没有用了
连接字符串 不可能带着时间的 时间是服务器设定好的
另外关于传输安全的问题你可以详细参考 openssl
如果无从看起 先从cas 学习
pywepe 2011-08-16
- 打赏
- 举报
[Quote=引用 9 楼 ollim 的回复:]
引用 8 楼 pywepe 的回复:
引用 5 楼 ollim 的回复:
cas的帖子很多,但是解决不了你的问题,你从qq点击空间
仔细观察浏览器的链接字符串你就会得到答案
qq做的比较好的 处了id 还有一个编号
ADSESSION这个编号是你当前实现单点登录的超时时间 一般比较短
这样假设你这个链接字符串 被别人获取 过几分钟再用,他会判断你这次的登录是否还有效
……
[/Quote]
cas 了解
这里跟ssl关系不大
你所说的,就是再怎么样,web端都是要跟认证服务器通信的,对吧
我是想寻找一种web端不需要和认证服务器通信的办法.
使用对称加密,显然是可以的,那么还有没有其他的办法了呢?
引用 8 楼 pywepe 的回复:
引用 5 楼 ollim 的回复:
cas的帖子很多,但是解决不了你的问题,你从qq点击空间
仔细观察浏览器的链接字符串你就会得到答案
qq做的比较好的 处了id 还有一个编号
ADSESSION这个编号是你当前实现单点登录的超时时间 一般比较短
这样假设你这个链接字符串 被别人获取 过几分钟再用,他会判断你这次的登录是否还有效
……
[/Quote]
cas 了解
这里跟ssl关系不大
你所说的,就是再怎么样,web端都是要跟认证服务器通信的,对吧
我是想寻找一种web端不需要和认证服务器通信的办法.
使用对称加密,显然是可以的,那么还有没有其他的办法了呢?
pywepe 2011-08-15
- 打赏
- 举报
[Quote=引用 5 楼 ollim 的回复:]
cas的帖子很多,但是解决不了你的问题,你从qq点击空间
仔细观察浏览器的链接字符串你就会得到答案
qq做的比较好的 处了id 还有一个编号
ADSESSION这个编号是你当前实现单点登录的超时时间 一般比较短
这样假设你这个链接字符串 被别人获取 过几分钟再用,他会判断你这次的登录是否还有效
这是一种常见的 解决 sso 字符串被获取安全问题的 解决办法。
[/Quote]
我也想过超时时间的办法
但如果被截获了,别人可以修改那个时间啊
这怎么办?
好像web应用一定要和单点认证服务器发生交互
否则就没有安全可言
上面说地绝对了,可用使用对称加密
把token加密了,密钥只有web应用知道
...
cas的帖子很多,但是解决不了你的问题,你从qq点击空间
仔细观察浏览器的链接字符串你就会得到答案
qq做的比较好的 处了id 还有一个编号
ADSESSION这个编号是你当前实现单点登录的超时时间 一般比较短
这样假设你这个链接字符串 被别人获取 过几分钟再用,他会判断你这次的登录是否还有效
这是一种常见的 解决 sso 字符串被获取安全问题的 解决办法。
[/Quote]
我也想过超时时间的办法
但如果被截获了,别人可以修改那个时间啊
这怎么办?
好像web应用一定要和单点认证服务器发生交互
否则就没有安全可言
上面说地绝对了,可用使用对称加密
把token加密了,密钥只有web应用知道
...
lyhmy 2011-08-15
- 打赏
- 举报
原来如此
xiaojinhua1988 2011-08-15
- 打赏
- 举报
Mark学习
ollim 2011-08-15
- 打赏
- 举报
cas的帖子很多,但是解决不了你的问题,你从qq点击空间
仔细观察浏览器的链接字符串你就会得到答案
qq做的比较好的 处了id 还有一个编号
ADSESSION这个编号是你当前实现单点登录的超时时间 一般比较短
这样假设你这个链接字符串 被别人获取 过几分钟再用,他会判断你这次的登录是否还有效
这是一种常见的 解决 sso 字符串被获取安全问题的 解决办法。
仔细观察浏览器的链接字符串你就会得到答案
qq做的比较好的 处了id 还有一个编号
ADSESSION这个编号是你当前实现单点登录的超时时间 一般比较短
这样假设你这个链接字符串 被别人获取 过几分钟再用,他会判断你这次的登录是否还有效
这是一种常见的 解决 sso 字符串被获取安全问题的 解决办法。
softroad 2011-08-15
- 打赏
- 举报
学习了。
luohuijun619 2011-08-15
- 打赏
- 举报
http://www.iteye.com/topic/21770
lz参考下,在sso登录前,先判断下,生成一个随机token,
lz参考下,在sso登录前,先判断下,生成一个随机token,
pywepe 2011-08-15
- 打赏
- 举报
[Quote=引用 1 楼 softroad 的回复:]
具体说说你想干啥。
[/Quote]
桌面应用与Web应用单点登录
具体说说你想干啥。
[/Quote]
桌面应用与Web应用单点登录
softroad 2011-08-15
- 打赏
- 举报
具体说说你想干啥。
