论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2009-03-26 16:13 |只看该作者 |倒序浏览

转自：http://rocksun.cn/authentication-methods/

认证是啥？好多初学者往往说不清楚，一句话的解释就是证明自己是自己所声称的那个人。在Web应用里，认证过程通常就是在表单里输入用户名密码，提交到服务器上的过程。但是，认证过之后，服务器是怎么知道用户已经经过了认证呢？

我们知道，http协议本身没有所谓的会话概念，是无状态的，也就是说请求与请求之间互相并无联系。所以，我们需要一种辅助方法，建立一种会话的方法。于是人们想到了使用cookie，当通过浏览器访问web服务器时，web服务器就发给客户端一个用作会话ID的cookie，例如 sessionid=718e498517d8cfe9，其中sessionid为 cookie的名称，而后面的则是它的值。在浏览器之后的请求中，都会将这个cookie值发送回web服务器，web服务器根据这个值就知道了，原来你是那个XXX阿。

通过共同保存一个会话id，建立起不同HTTP请求之间的联系，只要浏览器支持cookie，这个模式就没有问题。以前为一个客户做了个web系统，客户以前还有个单独的小系统，运行在别的服务器上，他们希望登陆一次就能访问两个系统，这时cookie的模式有点问题。因为安全性的原因，浏览器不允许跨域的cookie访问，例如 IBM的网站，就访问不到Oracle网站的cookie，所以跨域情况下，cookie的模式被打破了。我们公司的一位大哥，是典型的实干家，他很快找到了方案。因为那个小系统会嵌入我们程序的框架中，所以对那个小系统的访问都是通过我们的系统进行的，所以他把所有访问的那个小系统的地方直接加上了用户名密码参数（那时，用户名密码真的都是明文），然后改造那个小系统，使之实现一个登陆过程，然后进入访问的页面。除此之外，他还写了些触发器，可以同步了数据库里的用户名密码。

尽管解决了我们的客户，但是还有一些问题。例如我们的客户直接访问那个小系统，不使用我们的框架，那么就还是会提示没有登陆；此外，直接传递给浏览器用户名密码实在不安全，好在我们的客户都还没觉得这有什么大不了的。尽管我这位同事的方案有些缺陷，但是给了我们一些提示，尽管cookie无法跨域共享信息，可是 url可以阿，这也是CAS许多单点登陆系统所采用的方式。

例如有A和B两个系统，希望在一个地方登陆就可以访问另外一个，那我们便准备一个单点登陆的服务器，用户可以访问，作为A、B以及未来的系统的认证服务器。当用户访问A系统时，A系统就会判断这个用户有没有登陆，如果没有，那么A会将用户转向到认证服务器上，因为这个用户从来没有登陆过，所以认证服务器上没有任何记录，所以会提示输入用户名密码，如果正确，认证服务器便把将用户重定向会A系统，并且在url上附加一个类似 key=718e498517d8cfe9的东西，A系统根据这个key联系认证系统，就知道了这是哪个用户，并且经过了认证。然后用户访问B系统，这时 B系统也会将用户转到认证服务器，因为用户刚刚访问过认证服务器，cookie 还在，所以认证服务器知道这个用户经过了认证，于是它便直接把 key=718e498517d8cfe9通过url传递给了B，然后B也就知道了用户经过了认证。

随着企业信息化建设的升级，系统越来越繁杂，各种各样的认证需求也不断出现，这也迫使我们需要结合更多的系统。原本的单点登陆系统往往都是为了针对特定问题实现的，使用了各种自定义的协议，之间并不兼容，将其结合在一起需要耗费大量的接口调整工作，所以我们需要一种规范来规定认证信息的交换协议，于是SAML 出现了。和CAS不一样，SAML不是一个系统，而是一种规范，遵循SAML规范开发的产品，都使用了相同的认证信息交换接口，所以理论上就可以无缝的使用相同的认证方式。现在大家热谈的SOA，希望能灵活的配置web服务，而SAML无疑正是其中认证环节上的基础，虽然标准总是大厂商制定的，但无论如何，跟着大部队走，比自己发明轮子要好。

文库|博客

永远的白痴

白手起家

论坛徽章:: 0

2楼 [报告]

发表于 2009-03-26 20:30 |只看该作者

认证还是很有必要的，客户和合作伙伴就可以更轻松地集成、访问、分析和管理这些产品的安全

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

bidi2000

白手起家

论坛徽章:: 0

3楼 [报告]

发表于 2009-03-26 20:31 |只看该作者

我觉得企业用户比较受用，可以获得一个集成更紧密的通用架构和管理框架

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

我是土拨鼠

白手起家

论坛徽章:: 0

4楼 [报告]

发表于 2009-03-26 20:31 |只看该作者

还是用来有效地开发大多数基于服务的架构并保证这些架构的安全性

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

妖妖铃

白手起家

论坛徽章:: 0

5楼 [报告]

发表于 2009-03-26 20:32 |只看该作者

中间件对核心业务还是起着至关重要的作用

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

瘦猪逮兔

白手起家

论坛徽章:: 0

6楼 [报告]

发表于 2009-03-26 20:32 |只看该作者

企业内部的应用系统，无论是网络平台还是最终用户应用环境，都需要使用PKI的机制来加强安全性。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

kasstic

白手起家

论坛徽章:: 0

7楼 [报告]

发表于 2009-03-26 21:55 |只看该作者

Cookie中的内容大多数经过了加密处理，因此在我们看来只是一些毫无意义的字母数字组合，只有服务器的CGI处理程序才知道它们真正的含义。通过一些软件我们可以查看到更多的内容，使用Cookie Pal软件查看到的Cookie信息。它为我们提供了Server、Expires、Name、value等选项的内容。